新人必見！ 知ってる人もあらためておさらい！ 情報セキュリティについて知っておきたいこと（その4）：ハギーのデジタル道しるべ（2/2 ページ）

[萩原栄幸，ITmedia]

16．「友達の友達」は知らない人だらけ

　Facebookでの情報公開範囲を調べてみると、筆者の周りでは「友達の友達」にしている人が多かった。学生にもヒアリングしてみたところ、やはり多くが「友達の友達」にしているという。

　しかし、この「友達の友達」というのがどれくらいの人数になるか、理解しているだろうか。

　以前、女性誌「CanCam」が行った読者調査の結果によると、Facebookの友達の数は、平均するとなんと「557人」もいるということだった。つまり、「友達の友達」という極めて曖昧な情報公開範囲は、端数を切り捨てても500人×500人でおよそ25万人ということになる（もちろん重複している人は多いはずだが、目安として）。

　この数字はネットのセキュリティ専門家でなくても、一般公開の数字と“大差ない”ということは分かるだろう。よって情報公開範囲はせいぜい「友達」までにするべきだ。できれば個人を指定して数人〜数十人程度としておくことをお勧めする。

17．情報セキュリティ上でも極めて有効な「ハインリッヒの法則」を忘れずに

　突然だが、「ハインリッヒの法則」をご存じだろうか。

　別名1：29：300の法則とも呼ばれ、米国の損害保険会社に所属していたハーバート・ウィリアム・ハインリッヒ氏が、労働災害の発生確率を分析した結果導き出された数字のことを指す。つまり、1件の重大な事故や災害の背景には、29件の軽微な事故や事象があり、そのさらに背後には300件のヒヤリハット（事故には至らない不注意やミスなど）があるというもの。

　これを情報セキュリティに当てはめて考えると、1件の、新聞に掲載されるような大規模な内部犯罪や、サイバー攻撃を受け、個人情報やクレジットカード番号などを盗まれて謝罪記者会見にまで至るような事件の背景には、29のトラブルや軽微な事故などがあり、その背景には300件の設定ミスや誤操作などがある、と言えるかもしれない。

　つまり、日常的に不注意によるミスが起きているような現場では、いずれ重大事故や大きなトラブルが、必然的に起こると考えられる。

　日々の業務の中で起きた、とてもつまらない不注意でのミスでも、なあなあで済ませるのではなく、必ず上長などに報告して、そのヒヤリハットをなくす対策を講じることは、何よりも大切なことなのだ。これこそが、重大なトラブルを引き起こす原因をつぶすことにつながる。

　過去30年以上の経験から、この法則はどの業種・業態にも、例外なくよく当てはまると感じている。

萩原栄幸

日本セキュリティ・マネジメント学会理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KKベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。