• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版

カネを活かす

2014.07.29

仕組みだけで情報流出を防ぐことはできない

伊嶋 謙二

ホンネのITマネジメント

制度 個人情報 IT 信用 ノウハウ 危機管理 顧客 オーナー

情報漏洩を引き起こす2つの要因

前回に引き続きセキュリティについてだが、情報漏洩では常にその事象が尽きることなく、今もどこかで必ず引き起こされている。情報漏洩はなぜ起こるのか、ということについて考えてみたい。

情報漏洩は大きく分けて2つの要因で起こる。
(1)「うっかり」でやってしまった
(2)「そのつもり」でやってしまった

情報漏洩で多いのが実は(1)のうっかりである。これはニュースネタにはならないから気が付かないようだ。うっかりは、ある約束ごとや手順を忘れたためにとか、何かの対策をしていなかったことにより起こる事象だ。

これは「ヒューマンエラー」が引き起こしている。つまりは人間が人間だからこそ間違ったために引き起こす、蓋然性を持つエラーだ。この対策にはITによるセキュリティシステム(仕組み)は効果を発揮してくれるはずだ。

というのは、人間だから間違ってしまうエラーを機械やシステムが自動的に対応して未然に防いでくれるからだ。

弊社で実施した企業のセキュリティに関する調査結果では、いわゆるITを生業とする企業などは、規模や地域を問わずセキュリティの対応はほぼ万全であった。

また経営者や組織がIT=セキュリティに積極的に取り組んでいる企業は、セキュリティへの対応が進んでいる。また、個人情報をうまく活用して事業を行っている企業は、情報漏洩などのセキュリティへの取り組みは極めて進んでいる。

逆にいえば、B2Bなので個人情報の扱いがないあるいは少ない企業がセキュリティを重要視していない傾向も、実は大きな問題である。

情報の多い少ないということで直接影響を与える範囲は限定されるかもしれないが、広く世間にご迷惑をかけるという点に置いては、企業にとっては十分に致命傷となる。

情報はあらゆるメディアや方法で持ち出せる

しかし厄介なのが、(2)「そのつもり」でやってしまう、悪意のある人間の行為による情報漏洩だ。もちろん大義名分としては、その行為を未然に防ぐべくITのセキュリティシステムや組織のセキュリティポリシーとして防衛を行っていることに間違いはない。

ITによるセキュリティシステムは人間がうっかり系のミスを防ぐためには効果はあるが、その防ぐ手段を前提として分かった上で悪意を持って情報漏洩を行うという行為は、実質的には防ぎようがないのが現実だ。なぜなら、情報はいかなるメディアや方法によってでも持ち出すことが可能であるからだ。

ITなどで、仕組みとして情報漏洩などの対策を施すことは一定のルールの中では機能するが、結局人間が悪意を持って情報を持ち出すことについて防ぐ手立てはない。

また人間ならではのうっかりや置き忘れなどの事象は防げないということを肝に銘じて、悪意を持つ人間が入り込まない企業であることが実は肝心なのかもしれない。

ところが最近の大きな事件として注目されているのがベネッセコーポレーションによる個人情報流出だ。本来個人情報がウルトラクリティカルな同社の財産であるはずの個人情報が、大量に流出した。

優先度の高いはずのベネッセコーポレーションの大規模な顧客情報が漏洩したのは、ITシステムを外部の業者に委託するという一般的な商慣習の中で盲点を突かれ、結局極めて大量の個人データ(2000万件以上)を流出させた。

おそらく同社は個人情報についてのセキュリティ対策を実施していたはずだが、情報漏洩してから6カ月も気が付かなかったという経緯らしいので、もはや言い訳ができない失態となっている。

かくのごとく、仕組みだけでは完璧に情報漏洩を防ぐということが難しい現実を見せている。この種の犯罪的な行為を未然に防ぐには、性善説が成り立つ企業の風土が何よりの防御であり、いわゆる居心地の良い会社、組織にすることが肝心なのかもしれない。

プロフィール

伊嶋 謙二 (いしま けんじ)

1956年秋田生まれ。矢野経済研究所でのIT産業の調査・研究業務に従事した後、1998年にIT調査会社ノークリサーチを設立し、代表取締役社長に就任。現在に至る。中堅・中小企業(SMB)市場のIT調査を得意とし、SMBのIT利用実態に詳しい。様々な関連業界誌で積極的な執筆も展開中。