叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。
トップ > 研修を受け、あれこれと思うこと > 組織の情報セキュリティと「ヴィジランテ」

組織の情報セキュリティと「ヴィジランテ」

研修を受け、あれこれと思うこと 韓流(ドラマ・K-POP) リーダーシップ・組織論 ISMS・情報セキュリティ管理 情報セキュリティのCIAと特性

先日の記事で、取得している情報セキュリティ管理士の更新研修を受けたことを書きました。

研修のなかの話で印象的だったのは、情報セキュリティのインシデントのはじまりを90年代のバブル崩壊後に設定していたことです。

実際、1990年代に相次いだリストラの中で、退職者による経営情報や個人情報を売り渡す事件が多発したようです。

確かにあの頃を思い返すと、理不尽なリストラが多くありました。

わたしは会社のシステム部門に所属してました。経営が危うくなり、会社がスリム化をはかるため、組織の再編を行いました。その一環で、それまでは「部」であった、システム部門は「課」に格下げされました。そしてなぜかシステム課は経理部の配下におかれました。

とても違和感がありました。

確かに経理業務はシステムの重要な対象領域です。でも、一部でしかありません。当時わたしが関わっていたプロジェクトは、工場の生産管理業務を新たなシステムに刷新することでした。会計はそのプロジェクトのスコープには含まれていませんでした。

システム部がシステム課になったことで、システム部の「部長」がリストラの対象になりました。

当時、わたしは何の役職もない社員でしたが、これは不信感を持ちました。

本来であれば、組織を再編する目的は、現状の 組織の構造やプロセスを見直し、より効率的に業務を遂行するための手段であるはずです。

システム部門を経理部の配下に置いたところで、新たなビジネスモデルが生まれるはずもありません。そこから会社の成長戦略を描くこともできません。

この会社で行ってる再編は、人員を削減する為の理由付けをするための組織変更をしているに過ぎません。

そんな適当な理由で、長年、会社に貢献して、管理職になった人を切り捨てする会社に不信をもちました。

おそらくバブルの崩壊で、多くの会社で似たようなリストラが行われたんだと思います。

社員は会社に忠誠を誓い、会社の利益に貢献するために働きます。

でも、会社は社員を守ってくれません。

会社という生き物は、サイコパスの如く、表面的には美しい言葉を放ちながら、その内は無責任、無慈悲に場当たり的な行動を繰り返します。

すべての会社がそうだとはいえませんが、会社や組織は、本質的にサイコパスになりやすい特性があるような気がします。

ちょっと前にDisney+で「ヴィジランテ」というナム・ジュヒョクが主演する韓国ドラマをみました。

ナム・ジュヒョク扮するキム・ジヨンは警察学校に通う学生です。彼は幼いころに目の前で、母親が暴漢に殺されてしまいます。しかし、法はそんな暴漢に対して厳罰を科すわけわけではありません。いずれは釈放されて、ふたたび犯罪を繰り返していきます。

そんな法制度に対する不信感をもったジヨンは警察学校に通う学生にも関わらず、隠れてリンチを行います。

リンチを繰り返すジヨンの行為はマスコミを通じ、世間の注目を集めます。彼は「ヴィジランテ」という称号を張られ、多くの共感をうけます。

悪でありながら、正義のヒーローとしての行為は、見ていて痛快です。

でも、このドラマが真骨頂を発揮するのは、後半部分です。

実は法の番人である警察そのものの組織が悪に支配されてることを知ったところです。

  • 警察官は国民を守るための正義であるが、警察組織そのものが悪であった場合、そこに忠誠を誓うのは正義なのか?

わたしはドラマを観ながら、組織の情報セキュリティに思いをはせました。

情報セキュリティの取り組みは、組織の重要情報の流出を防ぎ、情報の安全性を確保することによって、組織を守るための活動です。

しかし、組織で管理している情報が「悪」であった場合、それを守ることは、あるべき姿なのかと考えさせられました。

それはたとえば、販売している商品の欠陥情報であったり、不正な会計情報などです。

消費者に対しては「とってもいい効果がある商品」であることをうたいながら、実は重大な欠陥があり、その情報が機密情報として保管されているとしたら・・・。

組織が欠陥情報を隠蔽するのは、消費者を欺くことと同じです。

組織には「内部通報制度」があります。内部通報制度は、組織や企業内で不正が行われていると思われる場合、その情報を組織内の上司や、組織が定めた相談窓口に報告することです。内部通報は、不正を早期に発見し、組織のコンプライアンスを維持するための重要な手段とされています。

内部通報と似た言葉で「内部告発」があります。内部告発は組織が定めた窓口ではなく、マスコミや監督官庁などの外部に通報することです。この場合、組織はダメージを受けますが、組織の悪が一向に改善されないのであれば、正義の鉄拳をかざす手段としてやる意味ある行為です。

一方、組織に於ける情報セキュリティの仕事は、情報セキュリティの3要素(機密性、完全性、可用性)を維持することです。

ISO/IEC 27002 (情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範)では、情報の機密性の分類体系を以下の例で定めています。

  • a) 開示されても損害が生じない。
  • b) 開示された場合に、軽微な不具合又は軽微な運用の不都合が生じる。
  • c) 開示された場合に、運用又は戦術的目的に対して重要な短期的影響が及ぶ。
  • d) 開示された場合に、長期の戦略的目的に対して深刻な影響が及ぶ、又は組織の存続が危機にさらされる。

~「情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範(日本産業規格)」

情報の機密性を維持する活動は、情報セキュリティの要となる仕事ですが、機密にするべき情報を取り決めするのは、一般的には情報セキュリティの担当者の役割ではありません。

組織に於ける情報セキュリティの仕事に忠実であればあるほど、不都合な真実は、一般社員の目には留まらず、内部通報や内部告発はされなくなるでしょう。

それは組織の腐敗を助長させる結果を招くでしょう。

「ヴィジランテ」に登場する警察の仕事を見ながら、情報セキュリティの仕事にオーバーラップし、ドラマに惹き込まれながらも、考えさせられました。

ランキング参加中
知識
ランキング参加中
雑談
ランキング参加中
テクノロジー