人的資源のセキュリティについて|付属書A管理目的及び管理策

[更新]
人的資源のセキュリティについて|付属書A管理目的及び管理策



付属書A管理目的及び管理策についての解説コラム第四回目は「人的資源のセキュリティ」についてです。

第二回の「内部組織の管理策」において、組織体制における責任と権限について解説を行いましたが、組織の次に考えるべきポイントが「個人」へのセキュリティ対策です。

個人に対するセキュリティ対策とは

近年報道を騒がせている情報漏洩事件の原因として、「内部犯行」が多くの割合を占めています。普段の業務で情報に触れている分、コピーや持ち出しが容易なケースが多く、外部攻撃と比べ特別な技術も要しません。つまり、係わる人間の適切な管理が必要なのです。

雇用前から注意が必要

ISO27001が示す「人的資源のセキュリティ」では、下記の管理策が定められています。

  • 経営者の責任の自覚
  • 雇用中の教育訓練
  • 懲戒手続きの整備
  • 辞める際の義務

「雇用中の教育訓練」は、日々の業務で発生する恐れのある“うっかりミス”を防止する効果があります。また、「雇用前」に関しても管理策は定められており、“情報セキュリティを守れそうにない人物を採用するな”ということが明記されているのです。何事も最初が肝心という事ですね。

故意の不正への対処方法

では、“故意の不正”への対処はどのようにすれば良いのでしょうか。「内部の人間に悪意を持ってやられたら“防ぎようがない”」との声は多く聞きますが、リスクを減らすことは可能です。

リスクマネジメントではよく「性善説」と「性悪説」の分類の下、有効的なセキュリティ対策について議論が行われますが、最新の動向としては「性弱説」を用いるケースが増加しています。

人は弱いもの。追い詰められたら何でもやる。

この概念は、人間の本質を上手く表しているものではないでしょうか。そして、この「性弱説」に基づいて不正行為を検証してみると、対策すべき項目が浮き彫りとなってくるのです。

不正の三要素

内部不正が起こるとき、そこには「不正の三要素」と呼ばれるものが存在します。

  1. 動機
  2. 正当化
  3. 機会

逆に言えば、上記の三要素が揃わない限り不正は起こらないということになります。それぞれ詳しく見ていきましょう。

1 動機

不正の要素一つ目は、不正をする「動機」です。よくある動機としては、「金が欲しい」「恨み」等です。悩みを相談出来る、風通しの良い職場環境を作ることで、リスク低減が図れます。

2 正当化

大抵の人は、悪いことなどしたくありません。“不正をしても良いんだ”という納得できる理由が必要となります。

これが、不正が起こる要素二つ目の「正当化」です。

  • 会社は適切な評価をしてくれない
  • ブラック企業である当社を告発するために

上記のような“不満”が、不正の「正当化」に繋がってしまうのです。これについても、風通しの良い職場環境であれば発生しにくい現象でしょう。

ここまでの二要素については、本人の“内面”に由来するものです。個人の心の問題なのです。完全に断ち切るのは容易ではありませんし、他人には理解しようがありません。そこで、最後の一要素である「機会」の排除を徹底的に行うことが重要となります。

3 機会

最後の要素が、不正を行える「チャンス」です。このチャンスを与えてはいけないということですね。

日頃から入念なチェックを行い、“企業が見ている、何かをしたら分かってしまう”と従業員に意識させておくことが大切です。

日本的「信頼の美徳」こそがセキュリティリスク

日本の企業では「いつも頑張っているから」「彼は信頼出来る人物だから」と、業務を任せきりにすることが、“信頼の美徳”の様に感じさせる風潮があります。

ですが、先に述べたように“人間は弱いもの”です。有能な従業員であっても、社交的で人間的に素晴らしい従業員であっても、追い詰められた際の行動は想像がつきません。日本企業にはびこる“信頼の美徳”応えようと、仕事を任されることに喜びを感じ、能力の高い人物ほど追い詰められていくのです。そしてある瞬間、「もう、やってられない」と“魔が差す”ことで犯行が行われます。

実際、国内最大の個人情報漏洩となったベネッセの事件では、日頃真面目に業務に取り組んでいたにも関わらず会社からの評価が低い事で不満を募らせた優秀なエンジニアによって犯行が行われました。

彼が犯行を行う瞬間、もし“こんな事をしてもすぐにバレてしまう”との考えが浮かんでいたら、自分の行動を思いとどまったかもしれません。企業は、長年を掛けて気付き上げた社会的信頼と、営業利益、優秀な従業員を失わずに済んだかもしれません。

まとめ

業務のチェックとは、決して人を信用していないからするのではありません。信用している人、頑張っている人を、“救うため”に行うのです。

“人は弱いもの”だからこそ、会社は「従業員を不正の誘惑から守るために」業務内容をしっかりチェックしていく責任があります。これが「性弱説」に基づく人的管理の考え方なのです。

次回は、情報セキュリティにおいて守るべき対象「情報資産」の考え方について解説をいたします。

ゼロから始めるセキュリティ対策!
セキュリティチェック25
img_pdf

「セキュリティ対策」はインターネットを利用する全ての企業にとって必須

大企業であればお金をかけてしっかりとした対策に取り組めますが、
そんな予算もない中小企業の方々は、「セキュリティ対策が必要だとわかっていても何をすれば良いかわからない、、、」という方も多いはず。

そんな中小企業の方々、
特に50名以下の企業の社長、IT担当者、総務部担当者の方々は絶対に知っておきたい!自分でできるセキュリティ対策がチェックできるA4サイズ1枚にまとめた25項目のセキュリティチェックシートです。

メルマガ登録で無料ダウンロード!
無料ダウンロードはコチラ
星野靖裕

金融機関にて、融資管理・情報システム開発に従事。経営・現場双方の視点を備え、効果的なマネジメントシステムの構築を指導。人員一桁から数千人の一部上場企業まで幅広くコンサルティングを行う。
  
>プロフィール詳細はこちら

こちらのページもご覧ください。

セキュリティ診断サービス

あなたの会社のWEBサイトは大丈夫?社内ネットワークも心配...
サイバー攻撃されて問題になる前にしっかりチェック!

標的型メール訓練サービス

近年増え続ける標的型攻撃の対策はできてますか?社長だけが大丈夫でも社員全員の意識を上げないと、メールが来たら1/3も...

セキュリティ人材の育成に

今後不足すると言われているセキュリティ人材の確保を早めに対応しませんか?たった2日で学べる集中コース!

情報セキュリティ監査

150,000円のセキュリティ監査!専属担当者の採用は難しいけど、セキュリティが心配...という方必見です。

メルマガ会員登録募集中

中小企業向けセキュリティチェックシートプレゼント!その他特典多数!詳細はこちらをクリック!

「重要インフラにおける情報セキュリティ確保」対策指針第5版について

IPA調査報告から見える、日本の「ITサプライチェーン管理」の実態

成立となるか?「サイバーセキュリティ基本法改正案」について

作者:   法令・計画等