退職挨拶メールのTO/CC/BCC
お世話になっていた取引先のある方から退職の挨拶メールを頂きました。
その方が退職することは分かっていたので、メールの文面に、驚くことはありませんでした。しかし、メールの宛先にはたいそう驚きました。
その方からのメールの宛先はTo(宛先)に誰の指定もありませんでした。そして、たくさんの会社のドメインが記載されたメールアドレスが、CCに記載されていました。
その方が日ごろから付き合っていた、社外の関係者を外部に漏らしてしまったのです。
その方はCCではなく、BCCにメールアドレスを入れようとしたようです。しかし、メールの操作を誤ってCCに入れてしまったのです。
よくある情報セキュリティインシデントです。個人情報を取り扱う従業員のセキュリティ意識が低いと、不用意な扱いをしてして、情報漏洩をおこします。たとえ、メールアドレスを確認して、メールを送信しても、TO/CC/BCC の設定を間違えれば、メールアドレスの漏洩となります。
オウンゴール
情報セキュリティの事故は外部からの攻撃だけではありません。
いやむしろ、先ほどの退職の挨拶メールのような、組織内部の不注意で発生するインシデントが非常に多いのです。
サッカーでいうオウンゴールのようなものです。味方の選手がゴールキーパーへパスを出し、処理を誤りボールがゴールへ入ってしまうパターンです。
youtu.be
オウンゴールは敵がした場合は、つい笑ってしまいます。しかし、セキュリティインシデントは笑えません。
ヒューマンエラーを減らすために
人は誰もミスをします。ミスした人を問題にするのは、誤った考えだと思います。ヒューマンエラーを減らすためのシステムを作るべきでしょう。確実性の高いやり方はチェック体制を作ることです。
たとえば、展示会にお越しいただいた見込み客のアンケートをSalesforceのリードに入力する業務を考えます。担当者だけにこの作業を任せると、見込み客の入力ミスを監視することが出来ません。そこで、オンライン会議を使い、担当者がアンケートを読みながら入力する様子をチェック者がSalesforceを見ながらリアルタイムで確認する方法が考えられます。
ワークフローでは、担当者が入力して、チェック者に確認依頼を行い、チェック者が入力内容を確認するという流れが一般的です。ただ、このような時間差のあるやり方は、確認が形骸化することが多いのです。リアルタイムで入力とチェックが出来る体制にする方がヒューマンエラーを軽減出来ると思います。
安全なシステムの設計という観点で、ミスの発生に対する対策の考え方としてふたつ紹介します。
フェールセーフ
システムに故障やエラーが発生した際、危険な方向にいかないよう、システムの停止など安全を確保する工夫をすることです。
たとえば、家庭にあるブレーカーは、電気の流れを遮断するためのものです。もし、過剰な電気が流れたり、漏電があったりした場合、「バチン!」という音とともに、ブレーカーが落ちます。これによって、火災などを引き起こさないようにしています。
フールプルーフ
人がミスをしようとしてもできないようにする工夫の事です。
たとえば、電池を装着する際、プラスマイナスを正しくセットする必要があります。特に3個以上の直列使用のとき、そのうちの1個が逆向きでも機器が作動することがあります。逆に入れた電池が他の電池によって充電され、液もれ、破損、破裂を起こす危険性があります。ただ、プラスとマイナスでは電池の形状が異なり、装置に対して逆さまのセットがしにくい構造となっています。