一番怖い“善良な社員”――情報漏えい事件を起こさないためには：会社に潜む情報セキュリティの落とし穴（1/2 ページ）

企業の情報漏えい事件は組織内部の人間が関わることが多い。原因の大半を占める「過失」と「故意」へどのように対処していくべきかを考察する。

[萩原栄幸，ITmedia]

数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、企業や組織に潜む情報セキュリティの危険や対策を解説します。

　今回は企業における情報漏えい事件を発生させないためには、対処方法どうすべきかについてみていきましょう。

　以前から情報漏えい事件の原因は、組織の「内部」と「外部」のどちらが多いか、という質問を受けることがあります。さらに「盗難」だった場合は、それが外部の人間が盗んだのか、内部の職員が盗んだのかという点を厳密に分ける必要があり、不明の場合も数多く見受けられます。原因がどのような現状かというデータは数多く存在し、あるデータでは6割が内部だったり、また、ある調査では7割が内部だったりとさまざまです。

　実際には測定する条件が異なるので、数字の多少の違いはあまり重要ではありません。わたしは10年以上この分野で仕事をしてきましたが、この経験から確実にいえることは、情報漏えいの原因では圧倒的に内部が関係するものが多いという事実です。しかし、一般的には外部が原因になるという理解が広まっているようです。その背景には日本の企業文化が大きく影響していると思われます。

隠ぺいしたがる風土

　戦前や戦後を通じて、日本では「組織」「会社」が仲間に対して極めて寛大であり、老後を含めて自分自身の一生を保障してくれる大切な存在でした。このため万が一不祥事が起きても、経営側も労働側もなるべく社会には明るみなにならないよう、その事実を隠ぺいする習慣が身についてしまったと思います。これは日本に限ったことではありません。

　隠ぺいはそうしたした場合のメリット、デメリットを考えた結果から生まれたものでしょう。日本の場合は、自分の属する組織が自分自身だけでなく家族も含めて一心同体であり、「内部の不祥事は恥」とみる風潮と運命共同体という文化が複雑に絡んで、「内部が原因＝犯罪」だという意識が浸透していったものと考えます。その結果、「悪いことは悪い」という極めて単純なことが言い出しにくい文化が定着しました。

　情報漏えいの原因の大部分は外部だという一般的な理解は、組織が内部の不祥事を全面的に隠すようにしてきた結果だといえます。第三者が簡単にその実態を知ることも難しいでしょう。しかし、実際には内部が原因になるケースが圧倒的に多いのです。

犯罪か過失か

　日本ネットワークセキュリティ協会では毎年、「情報セキュリティインシデントに関する調査報告書」を公開しています。最新の2007年調査から情報漏えい件数に対する原因が読み取れます。

原因	理由	割合
内部	紛失・置き忘れ	20.5％
内部	管理ミス	20.4％
内部	誤操作	18.2％
共通	盗難	16.6％
外部	ワーム・ウイルス	8.3％
共通	不正な情報持ち出し	7.9％

　これをみると簡単には判断できないものがありますが、内部要因が圧倒的に多いといえます。しかし、内部要因の内訳が正しく切り分けられてはいません。先に挙げたように、企業の中には内部要因が犯罪だという短絡的な発想があり、そうした認識から「内部犯罪が原因全体の8割を占める」という説まで存在するようになりました。情報漏えいの大半が犯罪だという解釈は誤りで、正しくは「内部の関係者が原因」というものです。わたしも一時期、この誤った短絡的な認識から、内部要因を犯罪と定義してしまったことがありました。訂正したいと思います。

　「メールアドレスの記載ミス」や「FAX番号の記載ミス」などは当然ながら犯罪ではなく、単なる不注意によるものです。内部要因は不注意と故意（犯罪）の2つに分かれます。企業の情報漏えい対策では、要因別で見た場合に9割近くを占める内部要因に注目し、不注意と故意のそれぞれに対応していくことが重要になります。