情報漏洩対策_その1
外部からの不正アクセスを原因とする情報漏洩事件が急増しているのは事実だが、残念ながら内部要因による事件が減少している訳ではない。例えば、株主優待の代行サービスを運営する会社から約1万2千件の個人情報(契約企業株主の氏名、住所、性別、生年月日、メールアドレス、電話番号)が流出した事件。
調査報告では社内から人為的に持ち出された個人情報DBが名簿業者に渡り、漏洩したとのことで、2014年に発生し、社会問題となったベネッセ個人情報流出事件(外部業者の派遣社員が持ち出したデータを自ら名簿業者に売り込み、更に当該データを4~5社の名簿業者が転売)と類似する内部犯行であったようだ。 ベネッセの事件では同社のプライバシーマーク付与が取り消されたが、今回の運営会社もおそらく同様の措置がとられるだろう。社会問題となりつつあるこのような情報漏洩事件を決して対岸の火事と思ってはいけない。
事件、事故が発生した際の手順は、まず応急処置や影響度の把握をした後、被害拡大や新たな二次被害発生の防止に努める。関係機関への報告、被害者への対応を進めると同時に発生原因を分析、究明。その結果を元に再発の可能性等を検討し、防止策を練るのだが、事例のような悪意を持った内部不正行為への技術的な対策には限界があり、内部不正を防ぐためには、不本意ながら犯罪心理学を援用することとなる。
ルーティンアクティビティ理論では、
·(動機づけられた)犯行者
·(潜在的な)犯行対象物
·(監視性の低い)場所
という3つの要因が重なった場合に犯罪が発生するとされているのだが、(具体的な5分類25項目の予防策は出典を参照)そもそも不正行為を働く動機や背景などの特徴があるわけで、管理者が内部脅威者のストレスを引き起こすものが存在することや前兆を見落としている(コミュニケーション及びモニタリングの不足)可能性が高いのではないだろうか。よって、管理者は「人」「組織」「技術」の面から内部不正が起きにくい職場環境をつくることが重要だと改めて思い知らされる。
弊社の目指す姿は「クライアントをはじめとするステークホルダーが、ブロードテックと関わったことを誇れる企業になる」こと。ステークホルダーごとに求める企業価値は異なるだろうが、その礎となる社員にとっての「在籍価値」を高めることを疎かにしてはいけないということだ。
(出典)IPA「 テクニカルウォッチ組織の内部不正防止への取り組み」より引用
(出典)社会安全研究財団:「環境犯罪学と犯罪分析」より引用