人的セキュリティとセキュリティリテラシーの向上
セキュリティリテラシーを向上するため、多くの企業では「意識向上トレーニング」を定期的に実施しています。意識向上トレーニングはもともとは「Awareness Training」という単語が訳されたもので、気づきを与えるためのトレーニングのことを指しています。これは、“セキュリティは大事ですよ”という意識ではなく、セキュリティ事故が“起きるかもしれない、起こっているのかもしれない”ということに気付くためのトレーニングです。
しかし、情報システムについて詳しくない人たちがそのことに気が付くのは難しいといえます。いまだに「不審なメールは開封しない」ということを信じて実行しようとしている人たちがいますが、(不審かどうかの判断を正しく規定することは難しく)これはどんなにトレーニングを積んでも100%になりません。
であれば、システムやサービスでできる限りユーザーの補助をしていく必要があるのです。
「社長のふりをしてメールを送られてきた」ということについても、社長は本来ならば社内のSMTPサーバからメールを送ってくるはずですから、そうでない場合にはメールタイトルのところに【社外SMTP経由】などと追加されていれば気がつきやすいのではないでしょうか。もしもこのマークがついてないのに不審なメールが来ているとすれば、社長のアカウントが乗っ取られているか、SMTPサーバが踏み台になっているかのどちらかですから、また別の事故に気が付くことができるようになります。
このように、気付きの仕組みを提供していくことが重要です。人間の判断を助けるために情報を提供するのがITですから、それを最大限に利用するということが重要です。
ベネッセコーポレーションの今回の事件では、誰かがデータベースからデータをダウンロードしたら、技術者グループのメーリングリストやSMSにその動作が実行されたことを通知するような仕組みがあればよかったのかもしれません。いつも行動が監視されているということは抑止効果として最も良い方策です。
犯罪のきっかけを与えない職場環境づくり
ISMSやプライバシーマークの認定を受けている企業の多くが取り組んでいるクリアスクリーン、クリアデスクトップという対策があります。これは個人の整理整頓や情報の盗難防止だけが目的ではありません。
例えば、管理職の机の上に重要な情報が置きっぱなしになっていて、それをたまたま部下が見てしまった場合、犯罪のきっかけを与えてしまうことになります。実際に、社内犯罪の起きやすい時間帯は残業中や休日出勤であるということが、われわれが依頼を受けた調査の傾向で分かっています。人目の少ないところでは犯罪発生率が上がるのですし、そのきっかけを与えているのが、ずさんな書類管理やファイル管理にあります。
離席時には机の上に物を置かない、画面を消す(スクリーンセーバーではなく、自ら消す)ことが社内犯罪の防止につながります。
防止と抑止の両方の対策があってこそ、社内犯罪を起こさせない環境づくりができるのです。
まとめ
今回の事件は、児童や生徒というカテゴリのデータに価値があったというとことに起因しています。個人情報保護法が施行されて以降、適正な入手が難しくなったことが逆に個人データの価値を高めています。入手のためにプレゼント企画やイベントを開催するよりも、購入した方が安いと判断されているのがのが原因です。
個人情報についてはすでに多くの情報が出まわっており、年配の人たちの情報を得ることはそれほど難しいわけではありません。しかし、個人情報保護法以降のこの10年くらいの情報は入手しにくく、それが価値を持ってしまったというのも今回の事件が起きてしまった原因なのでしょう。
企業の情報管理において、それが流通することでどのような価値を持つのかということを考えることが重要です。これは、情報の重要度ではありません。その情報が他人に渡った時の影響を考えるということです。情報の重要度でリスクを分析するのではなく、その情報がどのように活用される可能性があるのか、その影響について検討し、適切な対策を講じるようにして下さい。