企業の情報管理は、結局「社員管理」にある

大手携帯キャリアで、社員による情報の持ち出し事件が発生しました。コトの真偽や詳細は入手できていませんが、当該社員が逮捕されたということは相当証拠が明らかになっている、ということを意味しています。企業の情報保護、いわゆる情報セキュリティはどうやって確保すれば良いのか、経営者にまた難問が突きつけられた形ですが、社長はどうやって行けば良いのか簡単にまとめてみます。

情報セキュリティについては、ハード面とソフト面の両面戦略が必要となります。これらはそれぞれ以下の様なものです。

ハード面：ソフトウェアやハードウェアを使って重要データへのアクセスを監視する、または、権限の無い人からのアクセスを止める

ソフト面：社員への注意喚起や啓蒙などの教育・指示命令を明確化する

両面について細かい解説が必要だとは思いますが、非常に複雑で高度な話になってしまうので、このコラムでは避けておきます。

さて、今回の事件については超大手企業である携帯会社で発生しています。これら企業は基本的に高度な対策を行っていたはずです。ハード面ではデータの監視やアクセス権限の管理システムなどが導入されているはずです。かなりの投資をかけてセキュリティシステムを構築していたでしょう。

ソフト面でも、外部からのアタックなどに対する社員教育は充実していたはずですし、「社員はシステムによって見張られている」と常日頃牽制されていたと思います。当該容疑者は技術者であると報じられている為、ハード面でのセキュリティ対策をすり抜ける技術的な仕掛けを考えた可能性もありますが、そもそもデータへのアクセス権限があったのだとすれば、ハード的な対策はあまり役に立ちません。事実、今回は転職してしまってから発覚しているので、システムが機能していなかったという証拠になります。

セキュリティの話題を振られた際、会社経営者さんから「どのような仕組みを入れればセキュリティ上万全になりますか？」と質問されることがありますが、どのようなハード的な対策であっても破られてしまう時はあっさり破られてしまうものです。昔の映画ではありませんが、「どんな頑丈な金庫を作っても、泥棒は必ず破る」といった類いのものです。

それよりも、今回の犯行を考えると、当該社員の「危険を冒してでも、とにかくデータを持ち出したいと強く思うモチベーションがどこにあったのか？」が重要です。おそらく、強く転職したくなる原因や状況が元の会社にあり、転職先への入社のハードルが相当高かったが故に、どうしても自分の持つノウハウ（？）の価値をつり上げておきたかったのだろうと思います。元の会社における処遇や人事制度がどうだったのか解りませんが、かなり大きな不満を抱えていたことは想像に難くありません。先にも述べましたが、どのようなハード面での対策を取ろうとも、それは必ず破られるもの、という認識の元、

重要データ毎に誰がアクセスでき、その人は人事的・職場環境的にどういう状況なのか？

を常日頃管理状態に置かねば、このような犯行は防ぐことはできないのです。当該社員の元の会社は、その前半にばかり注目していて、後半の人事面のことはおざなりになっていたのかもしれません。これはその会社にとっては大きな失点だと思います。

ハードルの高い話になりましたが、御社にとって漏洩したり毀損したりしたら経営的に非常にまずい状況になるデータをはっきりさせ、そこに誰がアクセスできるのか、その人は大丈夫なのか？今一度見直しをしておくことをお勧めします。