前回のブログでは、会社が社員にKPIに象徴される数値目標を定めて、馬車馬のように働かされる羽目になるのは「嫌だ!」と書きました。
www.three-wise-monkeys.com
今回は、情報漏洩の観点にたって、馬車馬として働く社員のリスクを考えたいと思います。
違うお客様に誤ってメールを送ってしまう
馬車馬のように働く社員は、成果を求めるあまり、ひとつの仕事を緻密にやろうとする意識が欠如するでしょう。
たとえば、あるITベンダーがユーザ企業よりRFP (Request for Proposal:提案依頼書)を提示されたとします。RFPとはユーザ企業がシステム構築の発注先候補となるITベンダーに、具体的なシステム提案を行うよう要求することです。RFPを受け取ったITベンダー側は、お客様からのRFPに基づいて、システムの提案書を作成し、ユーザー企業に提出します。
通常、ITベンダーは複数のユーザ企業と取引があるので、個々のユーザ企業のRFPに対して、システム提案を行います。
このとき、気を付けなければいけないのは、別なユーザ企業に向けて記載したシステム提案書をメールでユーザ企業に送付してしまうことです。これはメールの誤送信という言い逃れの出来ない情報漏洩です。
情報漏洩というと、ブラックハッカーが技術を駆使して堅牢な企業システムから情報をハッキングさせる印象があると思います。
しかし「情報セキュリティインシデントに関する調査報告書」によると、情報漏洩の原因は以下のような構成です。
円グラフを見ると、情報漏洩の原因のうち、5割(赤枠部分)は紛失・置忘れ・誤操作という、社員のケアレスミスです。そして誤操作の多くはメールの誤操作を示しているのですが、これが非常に多いことが分かります。
プレッシャーから営業秘密を提供する
社員のキャパを超えるようなノルマは社員に多大なプレッシャーを与えるでしょう。そして、プレッシャーは社員に不正の動機を与えます。これに関連し、米国の犯罪研究者であるドナルド・クレッシーの提唱による「不正のトライアングル」という理論がよく知られています。
不正が行われる条件は「機会」「動機」「正当化」の3つの要因がそろった時に発生するという理論です。
たとえば、次期製品の企画は「営業秘密」として管理している会社が多いでしょう。そして、営業秘密として管理している情報を馬車馬な営業マンが会社に許可を取らず、見込み客に提供するかもしれません。それによって、いま進めている商談を成約させ、不正な成果を獲得するかもしれません。
標的型攻撃にひっかかりマルウエアに感染
いまや、あらゆる職場で毎年、標的型の訓練メールが実施されています。
標的型訓練メールは、対象者に訓練の詳細日時は伝えず、標的型のテストメールを送信します。そこには添付ファイルがついていて、それを誤って開封した率(開封率)を探ります。それによって今後のサイバーセキュリティ教育に活かすことを目的としています。
しかし、いくら教育を受けても、馬車馬のように働く社員は思考力が低下しています。危ないメールを「危ない」と認識しない可能性が高いでしょう。思わず添付ファイルに潜むウイルるにパソコンが感染し、パソコンや企業ネットワークでつながった機密情報がインターネットに流出するかもしれません。
仕事なので厳しさも必要ですが、心に余裕をもって取り組みたいですね。 心の余裕があるから質の高い仕事が実現できると思います。