成功体験を積み重ね、セキュリティ意識を血肉に 牧野弁護士：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[井上晶夫，ITmedia]

人間が作るものには必ずバグがあると自覚せよ

　どうすれば情報漏えいのリスクは回避できるのだろうか。まず、情報のバグに関しては、「徹底した情報管理を行えばリスクをつぶすことができるかもしれない」と牧野氏は話す。会社のパソコンは持ち出さない、機密情報は経営陣だけが把握するなど、明確な管理体制を敷き、違反者には処罰も辞さないことをあらかじめ明文化しておくことが重要である。会社で配布した携帯電話にどんなデータが入っているかをチェックして把握することは、プライバシーの侵害ではなく、会社の義務であると考えるべきなのだ。社内に流通する情報に関しては、すべてこういった厳しい姿勢で臨む必要がある。

　システムのバグについては、すでに述べたように、担当者が豊富な知識を持って向き合うしかない。システムは人間が手掛けるもので必ず間違いは起きる、という前提に立った用心深いものの見方を持つことが大切なのだ。

　人間が起こすバグについては、社内で正しい教育を施すことが重要になってくる。ここで言う正しい教育とは、社員各自が「なぜ社内統制を行わなければならないのか」、「会社にとってのリスクとは何か」ということを自覚し、結果として、リスクの回避策を確立し、やがては社内の体質改善につながることを言う。

成功体験の積み重ねが、やがては会社の体質になる

　効果的な教育を実践するためには、社内のコミュニケーションが不可欠である。外部のコンサルタントに社内統制を依頼しても、問題の本質をつかんでもらうことは非常に難しく、時間も掛かる。例えば、コンサルタントから社内統制策定の３カ年計画などを提示されても、いま目の前にあるリスクは緊急で回避すべきものなのだ。仮にコンサルタントの提案を受け入れたとしても、「3年後に出来上がったリスク対策が不完全なものであることは十分考えられる」（牧野氏）のである。

　管理者は実務担当者と綿密なコミュニケーションをとり、徹底的にリスクの洗い出しをすることから始める。実務担当者が日々の業務の中で危険を感じていることを拾い上げ、それをつぶすことに注力する。リスク回避の具体的な方法は、実務担当者に提案してもらうのがいいだろう。牧野氏は「実務担当者の案を実行すれば、リスクの大小にかかわらず、効果は確実に現れてくるものである。自分たちの手でリスク回避ができたという経験を積ませることが大切なのだ」と強調する。

　経験が蓄積されると、自信がつき、やがてリスク回避の考え方が社内の血となり肉となって浸透していく。社内全体に主体的なセキュリティ意識が醸成されていくのである。そのためには、リスク回避に対する公平な評価基準を設けておくことも重要なことだという。

「いかに社内統制が大切なのか、社員一人一人がきちんと理解する体制を築くとともに、リスク回避が正しく行われていれば評価し、違反があれば処罰する仕組みを構築すべきである。会社にとって重要なことは何かという評価軸があれば、社員はその軸に沿って考え、行動することができるのだ」（牧野氏）