「松坂牛」のビジネスモデル構築（!?）を目指す：やらされ感だけでは防げない！ プラス志向の情報漏洩対策 第4回（2/3 ページ）

[アイティセレクト編集部]

現場に疑似体験をさせる取り組み

　もう一つの取り組みは、ワークショップ形式による実習である。6人くらいでチームを編成して個人情報取り扱い案件を一つ決めさせ、その中で個人情報がどこから入り、どこで複製され、どこで消えるかということを一つ一つ見極めさせて、フロー図に書き起こさせる。情報の流れを可視化させることにより、外注に任せていて不明だったところや複製物とともに二重保管していたことなど、現場が初めて気付くことが出てくるという。そうして情報を扱うプロセスを一つ一つ押さえさせ、それぞれでどんなリスクがあるのか、それにはどんな対策があるのかを考えさせる。そして最後に、ほかのチームに対して検証したワークフローにおけるリスクと考えられる対策を発表させ、再認識させることを試みる。

　こうすると、ある程度の対策案は捻出されてくるが、それが実施されているかどうかを検証させる時点で、一同は言葉につまり、「唸る」という。つまり、統制力だけではだめだということに、現場が気付くようになるのだ。これを繰り返すことにより、現場の意識レベルを高めていくのである。

　鈴木氏によると、企業におけるリスク対策は、データのライフサイクルを追っていないケースが多いという。ベースラインの安全対策はどの会社でも実施されているが、案件ごとに押さえていないということである。

　「この『二本立て』の取り組みにより、破れない布を織ることができる。怠れば、小さなほころびが穴となってしまうだろう」（鈴木氏）

ついでに強い会社にする

　情報セキュリティというものが縦糸と横糸で出来上がっていることを理解していない企業は多いとか。極端にいえば、シーピーデザインにも「規定集をくれ」といってくる企業が結構あるのだという。そういう企業は、規定集さえあれば問題は解決できると思っているというのだ。

　「規定だけでは縦糸にもなっていない。それが守られる体制ができて初めて縦糸になる」と鈴木氏。そのルールは、現場が守れるようになっていなければだれも守らない。ルール違反が分かるようになる、横糸がなければだめなのである。それゆえ、漏えい対策には「設計（デザイン）」が必要だと主張する。

　だが、多くの企業は漏えい対策にデザインが必要だということを分かっていないと、鈴木氏は嘆く。弁護士は現場を知る由もなく、提示するのは統制に必要なルールだけ。一方、ベンダー側は、ユーザー側のデザインに合わせたシステムを売っているわけでもない。

　縦糸と横糸をつくり、それぞれをどんどん強化し、強い布にしたい。それはつまり、企業の内部体制の強化だ。「漏えい対策は情報セキュリティというレベルの話だけでは終わらない。強い会社になるかどうかという次元の話」（鈴木氏）ということである。その必要性が理解できているかどうか。できていなければ、それに対する意識改革が必要だ。

　鈴木氏は、リーディングカンパニーでは経営層がそういう認識をしっかり持っていると語る。そして、付け加える。

　「もう一つ重要なのは、現場に対し、なぜそれが重要なのかという『魂』を入れること。意識を入れ替えさせるのである」