基本ルール制定で情報漏えいを防ぐ：やらされ感だけでは防げない！ プラス志向の情報漏洩対策 第3回（1/2 ページ）

情報漏えいを完全に防ぐことは難しいかもしれない。とはいえ、基本的なルールを導入し、徹底すれば極力抑えられるといわれる。そのルール制定には、押さえておくべきポイントがある。ただ、それがあまり気付かれていないと指摘されている――。

[アイティセレクト編集部]

　「個人情報保護に関する法律」（通称「個人情報保護法」）などの法整備は不十分であるため、それに則っているだけでは情報漏えいは防げない。かといって、情報管理システムで固めようとしても、そこまで成熟したシステムができていないという現状がある（以上、12月22日の記事参照）。では、どうしたら情報漏えいを防げるのだろうか。

基本ルール導入と徹底のカギは「階層」の設計

　実は、基本的なルールを取り入れ、普段の業務を改めて見直すだけで、情報漏えいを極力防ぐことができるようになる。しかも、組織ひいては会社を強くすることができる取り組みがあるという。ただ、そのルール導入はきちんと設計した上で実施しなければならないことが前提となる。

　その取り組みをコンサルティングしているのが、大日本印刷（DNP）の社内ベンチャーとして生まれたシーピーデザインコンサルティングだ。代表取締役社長の鈴木靖氏によると、そのルール導入の手法はごく当たり前のことでありながら、多くの会社でできていないことのようだ。そしてこう表現する。

　「最近、（ルール導入の仕組みを）布の縦糸と横糸に例えている。縦糸というのは統制力。簡単に言えば、ルールとその管理体制をつくること。横糸は現場の学習能力を鍛えること」

　個人情報保護の問題は法律に触れることになったため、企業はその対策に取り組むにあたって、「弁護士に相談すればいい」と考えがちだ。だが、現実的な解決策としては、実務の部分を固める必要があるといっていい。

　巷の書店には、個人情報保護に関するルールブックは所狭しと並んでいる。それを参考にルール導入を図っている企業が多いのも実情だろう。とはいえ、そうして導入されたルールは、実際には守られないと意味がない。「作業者がルールを守り、それができているかどうかを管理者が管理しなければいけないというルールをつくらなければ、ルールにもなりはしない」（鈴木氏）のである。つまり、ルールづくりだけでなく、管理体制の構築も必要なのだ。「最低限そこまでしないと、縦糸にもなりはしない」と、鈴木氏は力説する。

　そのためには、ルールをつくるときに「階層」の設計をしなければならない。どの階層の人にどのレベルのルールを適用するかということを判断するのである。作業者と管理者それぞれに対するルールの二本立てという二重構造がなければ、ルールは守られるものにならず、ルールにもならないということである。

　「売られているルール集には、作業者が守るべきルールしか書かれていない。『ねばならない集』では中途半端だ」（鈴木氏）

　しかし、そうしたことを実行できているところは、実際には非常に少ないようだ。

　シーピーデザインは創設以来、その重要性を説いてきた。その努力が報われてきたようで、「縦糸がなんとか糸になった」と、鈴木氏は手ごたえを感じている。そして2006年になり、「横糸の必要性」が見えてきたという。つまり、現場の学習能力育成である。

現場の意識レベルと管理職の認識のかい離

　現場における学習能力を養成することは、重要視されなければならない状況にあるといっていい。

　「ルールがあっても、うまくいかない場合がある。それは緊急事態の対応だ。事件は現場で起こるのだが、現場が、それが緊急事態かどうか判断できないでいる。火事になったらどうするかということがルールに書いてあっても、それが火事かどうか分別できていないのだ。ピンと来ない、アンテナが立っていないという、現場の意識レベルの問題で、現に、小さな事故を見落としていることがかなりある」（鈴木氏）

　こうした問題は、ある程度システムで補うことが可能とされる。火事対策の例でいえば、スプリンクラーを装備するのと同じことだ。

　だが、そのシステムも中途半端だと、感知センサーを伴わないスプリンクラーと同じで肝心なときに作動しないことになってしまう。だからといって、ただセンサーを装着すればいいという問題ではない。どんなセンサーを設定するかを考えなければならない。たばこの煙や30度くらいの熱に反応するセンサーではダメなのだ。情報漏えい対策の「一翼を担う」ように情報システムを構築するのも同じことなのである。

　現実と照らし合わせると、新潟大学法学部（情報学）教授の鈴木正朝氏がシステム開発者側における問題を指摘するように、個人情報管理ではそうした課題を克服できるシステムが出来上がっていないのが実態のようだ（以上、12月22日の記事参照）。火事の発生を知らせるための非常ボタンまでつながるシステムはなんとかできているというレベルである。