まじめな彼はなぜ情報を持ち出した？ 日銀事件に学ぶこと：セキュリティ対策の死角をなくせ（2/2 ページ）

[ITmedia]

漏えいは誰の責任か？

　日銀が今回の事件で掲げる反省点と防止策は以下の通りである。これらの対策は決して難しいものばかりではなく、日常的に実施すれば情報漏えいの再発リスクは軽減できるものだろう。

• 職員の規範意識が不十分

→職員に悪意はないが、ルール違反を認識した上での行為であり、ルールのさらなる明確化と職員教育の強化、外部メディアの無許可使用の禁止、機密情報資料の管理強化

• 情報流出をさせない執務環境が未整備

→業務端末の仕様や配備の見直し、外部メディアへのデータ書き込みを制限する技術的対策の導入

• チェック体制の不備

→全職員による個人所有PCの定期点検、管理職によるルール順守状況の確認徹底、情報流出の継続的な監視

　今回の調査報告で特に興味深いのは、情報漏えいの原因について、「人」の動きにフォーカスしているという点にあるだろう。

　これまでの情報漏えい事件に対する報道をみると、「ファイル共有ソフトが原因」と報じられるケースが珍しくない。だが、この観点では「ITを使うのは人間」という当たり前の観点が抜け落ちてしまい、「ITシステムは危険」という誤った認識が世論としてまかり通りがちだ。

　しかし、日銀の調査報告では組織と職員の意識のズレや日常行動に注目しており、発生プロセスの分析と再発防止策の立案でも「人間の行動」を重視した内容で取りまとめられている。「ITを使うのは人間」という観点を忠実に踏まえた上での内容である。

　さらに、事件発生から調査報告の公表までに要した期間が1カ月未満という点も興味深い。通常、この種の事件では原因究明だけでも数カ月を要する場合が珍しくない。調査は関係者へのヒアリングや職員保有PCのログ解析が中心になったが、原因究明の際に日銀が首尾一貫して「人間の行動」にフォーカスし続けたことが短期間化を実現したと思われる。

　日銀の白川方明総裁は4月30日の会見で、「極めて高い規律が求められている日本銀行員がこのような事態を生じさせたのは誠に遺憾だ。日銀にとっては信頼がすべての基礎だが、政策面と同時に組織への信頼、組織を構成している人への信頼が重要。情報の管理という面も含めて日本銀行の体制をしっかり作っていきたい」と述べた。

　情報セキュリティ対策ではさまざまなツールや技術の活用が注目されがちだが、日銀の事件はもう一方にある「人間の行動」という要素にも切実に向き合っていく姿勢の大切さを示している。