社会保険庁の覗き見事件に見る 人間の本性と情報セキュリティ対策
こんにちは、丸山満彦です。社会保険庁のウェブページ(報道発表)に社会保険庁の職員が2004年中に業務目的外で国会議員及び著名人等の個人情報を閲覧した状況調査結果が公表されています。これは確かにとんでもない話です。1500名以上の職員がこんなことをしているなんて・・・
ところで、あなたが社会保険庁の職員で同じ立場だったとして、絶対そんなことはしていなかったと自信をもって言えるでしょうか?
■社会保険庁
・2005.12.05 業務目的外閲覧行為の調査結果(報告)
あなたは芸能人や有名人の噂話に興味がありませんか。誰と誰が付き合っているとか、結婚したとか・・・。知らないことを知りたいと言うのは人(動物?)の本性でしょう。自分の安全を守るためには、周りの環境の情報が必要です。好奇心というのは、知ることです。情報を入手することと同じです。好奇心は人間の成長にとても重要です。
ただ、社会の約束として人間の世界では、知ってはいけないこともあります。プライバシーに関する情報などです。人が持っている物がほしくても、勝手に人から奪ってはいけないように、人のプライバシー情報も勝手に盗み見してはいけません。
物をとってはいけないということは、小さなころから親から、先生から、周りの大人や友人などからしつこく言われつづけてきています。ところが、人のプライバシー情報を勝手に見てはいけないというのはどうでしょうか。巷には芸能人などの密会場面を撮った写真や、噂話を書いた雑誌が当たり前のようにありませんか。
今回の事件は、多くの企業においても非常に教訓になると思うんです。企業の情報セキュリティ推進者は、「知る必要性に基づくアクセス権の設定」ということを言います(もちろん私も言います)。そういう観点からすれば、あなたになんの関係もない芸能人が誰と結婚したかどうかなんて、知る必要性なんてありませんね。なので、知らなくてよいのでアクセス権は与えません。
情報セキュリティを推進する場合は、こういう人間の本性と情報セキュリティ対策の強度をどの程度折り合いをつけていくかが重要となりますね。「みんなが知っていることは知りたいし、みんなが知らないことは話したい」そういうところが人間にはあります。それをどのようにして、規制していくのか。
ヘボい情報セキュリティコンサルタントは、一律に強権的に知る必要性がないから知らしむべからずとアクセス権を厳しく設定するように要求してしまいます。しかも、本当に必要性が認められない情報には絶対アクセスしてはならないように設定してしまいます。「そういう人からもれたらどうするんですか・・・」と。更に「リスクが高いのですぐに対応をとるべきだ」とアドバイスしまいます。その企業がどのような組織文化をもち、どのようなコミュニケーションを通じて良い製品や良いサービスを提供しているなんかまったくお構いなしにセキュリティ原理主義の発言をくりかえします。情報セキュリティヘボコンサルの手にかかれば、非公式の情報の伝達を分断してしまい、企業をよくするためのセキュリティ対策がかえって総合的には企業の価値を下げてしまうこともしばしばでしょうね。
情報セキュリティ対策は組織文化に適合したものでなければ、導入しても効果(セキュリティの効果ではなく、組織をよくするという意味での効果)はでません。今までの組織文化がよくないのであれば、それは変えていかなくてはなりません。良い情報セキュリティコンサルタントは、その点を強調すべきですね。組織文化を変えていくのはたやすいことではないので、場合によっては長い時間がかかります。
セキュリティ対策をトリガーとして組織文化を変えていくと言う方法も考えられますね。そういうことを意識してセキュリティ対策を導入しているのか、単にセキュリティの知識しかないからそういう対策を強要するのかは大きな違いです。
またまた、情報セキュリティヘボコンサルへのグチになってしまいました。すみません。
このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。
Comments
丸山さんの仰るとおりです。
企業文化を考慮せずにヘボコンサルが構築したシステムは機能しないに座布団3枚です。
ただ短期で成果を上げないといけない立場にもあることもわからないではないです。
何かをやったという痕跡を残そうとして、アクセス権限をがちがちに設定しているのかもしれない。。。ってことはないかな?
企業としても、即効で効果があると見られる方法と、長期的に見て利がある方法のどちらを選ぶかをじっくり考えてみることも必要だと思います。
Posted by: koneko04 | 2005.12.07 at 12:22
koneko04さん、コメントありがとうございます。
すぐに成果がほしいものですよね。思ったらすぐに結果が出てほしい。経営者はそう思うのが普通だと思うし、多くの株主もそう思っているかもしれません。
セキュリティ対策だけではないです。内部統制だってそうです。
だからこそ、全社統制で統制環境を評価するんですからね・・・。統制環境には当然、組織文化が含まれますよね。
Posted by: 丸山満彦 | 2005.12.07 at 14:56
夏井です。
職務と関係ないのに国民のデータを覗いた職員については一律解雇とするのが正しいのですが、実際にはあまりにも処分が甘すぎますね。どうしてそのような違法行為をする人間に税金で俸給を支払わなければならないのでしょうか?
公務員は、営利企業の従業員とは違い、国民から無理やり強制的にとりあげたお金で飯を食っているのだから、その違法行為に対してはもっともっと厳罰主義にしてほしいです。
なお、社会保険庁の事例は、氷山の一角に過ぎないだろうと思います。
Posted by: 夏井高人 | 2005.12.07 at 16:24
夏井先生、コメントありがとうございます。その通りですね・・・。氷山の一角か・・・
Posted by: 丸山満彦 | 2005.12.08 at 16:55