嘘をつくと人から信用されなくなるよ。だから、嘘をつかないようにするんだよ。
親は子どもに「狼と羊飼い」の絵本を読み聞かせながら、情操教育を施します。
でも、現実は、人は一日になんどもなんども嘘をついていると言われてます。
もう寝なさい! テレビ捨てるよ!
嘘はあまりにも日常的につくものです。人は嘘をつくことに、もはや罪悪感さえ感じることもないかもしれません。
だから、「人は嘘をつく」ことを前提として、いろいろな仕組みを考えるのが、筋だと思います。
組織の情報セキュリティ管理の側面で例をあげると、たとえば、1ヶ月後に退職する社員が「残業申請」をしたとします。
残業の申請理由は「後任者への引継ぎ資料の作成」だったとします。
退職を控えた社員が残業するにあたって、如何にもありそうな理由です。でも、上長は「この申請理由は、嘘かもしれない。」と、考えるべきでしょう。退職予定者の申請理由をそのまま鵜呑みにする人は、組織をマネジメントする資質には欠けると思います。
退職間近の社員が残業する理由には、組織が管理している重要情報・顧客情報を社外に持ち出すための作業も考えられます。
社員が情報を社外に持ち出すのに必要となる一般的な作業はー
- ファイルフォルダで管理している重要な情報を外部記録メディア(USBなど)にダウンロードする。
- 会社のメールアドレスで受信した、重要なメールを個人のメールアドレスに転送する。
- ドキュメントとして保管している重要情報をスマホカメラで撮影する。
と、いったところです。
日中、多数の社員が勤務している時間帯で、こうした作業をすると、かなり目立ちます。重要情報の持ち出し作業は、社員がほぼほぼいない定時後の時間帯でやるものです。
情報セキュリティでは、組織内部の社員が機密情報を不正に外部に持ち出すことを「内部不正」と呼んでます。IPA(情報処理推進機構)の調査によると、内部不正で最も多いのが「中途退職者」で、36.3% もあります。
情報漏えいした内容によっては、組織の社会的信用が失墜し、情報流出した顧客に対する損害賠償が発生するかもしれません。
情報セキュリティの組織的対策としては、退職予定者の残業申請は上長が拒否するべきでしょう。引継ぎに必要な仕事はすべてを定時内でやるよう、上長が退職予定者に指示するのが望ましいと思います。
ただ、残業申請が形骸化している組織もあるかもしれません。その場合でも、退職予定者を執務室にひとりで残さないことです。退職者には、「常に自分は監視されている。」と、意識させる取り組みが必要です。
技術的対策としては、作業ログを取得することです。PC管理システムを導入し、社員がPCを操作した際にログの取得機能を持たせ、デバイス制御機能を持たせることが得策です。
プロキシサーバー(クライアントとサーバの中間で、両者の通信を中継する役割を担うサーバです。)と、PC管理システムで全てのログを取得することで「誰が、いつ、どんな情報に、どのような手段でアクセスしたか」をシステム管理者が把握できるようにします。
プロキシサーバーというと、一般的にはキャッシュ機能により、Web通信を高速化させるサーバーというイメージがありますが、認証やURLフィルタリング等の情報セキュリティ対策に於いても重要な役割を果たします。
また、管理者はログを確認することができることを定期的な情報セキュリティ教育を通じて、アナウンスする必要もあります。
その際、どのようなアクセスを問題とするかについての細かい条件までを伝えると、不正を企てる者は、その条件を回避する手段で、不正アクセスを行う可能性があります。伝え方は注意する必要があります。
重要なのは、社員が使うメールの宛先や、外部記憶媒体の使用や、重要情報を格納しているフォルダへのアクセスは、すべてログとして保管されていると思わせることです。
心理的な影響を与えることで、情報漏洩リスクを軽減させるのが抑止効果です。やってはいけないことを単に教えるだけでなく、自らやりたくないと、思わせること。これが抑止効果の本質です。
さらに、物理的対策としては、執務室には監視カメラを設置し、重要情報が格納されている棚に立ち寄った社員は動画として記録させることでしょう。
さきほど、退職予定者の残業は認めないことを書きましたが、もしかしたら、残業するのではなく、執務室がほぼ無人の早い時刻に出社することで、重要情報を搾取するかもしれません。不思議なのですが、夜の遅い時間帯に、不正を犯すことに対して、わたし達はイメージを持ちやすいのですが、朝の早い時間帯は、不正をするイメージを持ちにくいのです。早朝の時間帯は、内部不正対策の盲点かもしれません。
ですので、最悪、執務室に退職予定者だけがいる状況になっても、監視カメラがある状況下に置くべきです。そのなかで、重要情報を持ち出すのは、気が引けると思います。
