コラムカテゴリー:セキュリティ
【はじめに】
みなさんの企業では、セキュリティポリシーや ISMS などのセキュリティルールを策定されていますでしょうか。セキュリティ事故件数に占める情報漏えいの比率は高く、情報漏えいの約60%以上は人的要因です。企業としては、規則を定めることで、社員がそれを遵守し、セキュリティ事故を防ぐことを期待します。
しかし、残念なことに策定した規則が社員に守られず、形骸化されている現場も少なくありません。そこで、今回はセキュリティルールが形骸化することを防ぐ対応について紹介します。
【セキュリティルールが守られない事例】
ある企業では、情報セキュリティ基本方針に則った情報資産管理を行っていました。また、社員の意識向上にむけて、集合研修の実施やe-learningに取り組む機会を与えるなど、充実したセキュリティ教育が行われていました。
しかし、ある部署では機器の持ち出しや個人PCにデータを保持するなど、セキュリティルールから逸脱した行為が行われておりました。それらの部署の中には営業成績がよく、部門の大黒柱とも呼ばれているところがありました。
部署内でセキュリティルールの逸脱が常態化したきっかけは以下の経緯でした。営業成績の優秀な社員が得意先の店舗改装のため、直行直帰をすることがありました。得意先では店舗改装に協力的な会社に対して商品発注を行っており、改装後にそのまま商談の機会を与えていました。優秀な社員は個人PCに商品データを保存しており、その場で多くの発注を獲得することが出来たのです。翌日、発注獲得の成果を中間管理職に報告したところ、発注獲得を称賛して、個人PCに社内データを保持していたことを咎めませんでした。
これを発端として、部署内では暗黙の内にセキュリティルールは建前であることが常態化していきました。
【形骸化の要因】
社員がセキュリティルールを守らない理由は様々ですが、「業務を遂行するためにPCを自宅に持ち帰る」、「自宅で作業をするために、社外秘の資料を個人所有のメールアドレスに添付して送付した」など、企業に貢献するための違反理由があります。
上記のような理由であっても、違反が一度でも容認されると、それを知った他の社員はセキュリティルールを守ることがばかばかしく思えてしまいますし、少しぐらいなら違反をしても問題はないと考えます。また、容認された社員は日常的な違反により、ルールに対する規範意識の麻痺が生じてしまいます。情報漏えいの原因を調査した論文(※)によると、情報漏えいに繋がる行動に対して、最も大きな要因は「不正容認風土」です。
違反を容認する職場環境では、社員はセキュリティルールや上司の指示を建前であると認知し、社内のモラルが低下します。それに伴い、ルールに記載のないモラルに依存するセキュリティに対する不正も常態化してしまいます。そのような企業風土が醸成されると、策定したセキュリティルールも水の泡となってしまいます。そして、人的要因によるインシデントは防止できなくなるでしょう。
※情報漏えいにつながる行動に関する実証分析 竹村敏彦、三好祐輔、花村憲一
【評価による不正容認の抑制】
では、現場での不正容認を防ぐにはどうすればいいでしょうか。解決策の一つとして、現場を統括している中間管理職の人事評価項目にセキュリティルール遵守の項目を設けることです。
人事評価は企業の求める人材像を示すものです。つまり、中間管理職の評価に組み込むことで、不正容認が企業の方向性に反していることを再認識させることが出来るのです。これにより、上記のような企業利益に貢献する行為があったとしても、不正容認を認めない判断を下すようになります。また、部下に対しても不正容認がお互いのためにならないことを示すことができます。努力をしている部下の評価を落とさないためにも、不正に対して指摘をすることができるでしょう。
【まとめ】
セキュリティ対策はシステムを強固にすることはもちろん、人へのアプローチが重要です。その中でも、社員の状況を察知できる中間管理職の判断は組織全体へ影響を与えます。人事評価を通して、セキュリティ遵守の意思を伝えてみてはいかがでしょうか。少しでも多くの企業がセキュリティ遵守の組織風土になることを願います。
2020年12月14日 (月)
青山システムコンサルティング株式会社
