見出し画像

No265 尼崎のUSB紛失事故から「守ろうと思えるルール」を考える

えがおIT研究所

2022年6月21日に尼崎市民の情報を収納したUSBメモリの紛失騒ぎがありました。

前回はこの事故の概要についてお話をしました。

今回はそれを踏まえ、どうしてルールが守られないのか?ルールを守るためには何をすれば良いのか?ということについてお話をします。


1. USBメモリ紛失騒動の概要

前回のおさらいとなりますが、この騒動の概要を書いておきます。

この事故は大手IT事業者(Biplogy。旧社名は日本ユニシス)から業務委託を受けた孫受け会社の担当者がIT事業者の担当者と飲酒(深酒)し、USBメモリが入ったかばんごと紛失してしまったというものです。
USBメモリには、当日の作業で利用した尼崎市民数十万人分のデータが入っていました。

翌日にかばんがないことに気づいた担当者は、会社を休んでかばんの捜索を行いますが発見はできませんでした。
その後、会社と警察に連絡をし、さらに翌日(紛失から二日後)に近くのマンションの敷地内に放置されているかばんを発見したというものです。

私はこのメルマガで時々寸劇で極端な例を書いていますが、今回の騒動は寸劇など軽く凌駕するようなレベルの高さ(低さ?)です。事実は小説より奇なりとはよく言ったものです。

冗談はさておき、Biplogyほどの大きなIT企業(とその業務委託先)担当者の危機意識の低さに、筆者は大きな衝撃を受けました。


2. 「がんばりすぎないセキュリティ」は中小企業へのエール

私は「がんばりすぎないセキュリティ」を主張しています。

これは中小企業で「セキュリティって何だっけ?」という方々に対して「もっとカネをかけろ、もっと厳しく統制しろ」なんて言っても、いきなりできるはずがないからです。

それなら「理解できる、納得できる範囲だけでもいい」と割り切る考え方もアリではないかというのが、筆者の考えです。
カネをかけるな、レベルを上げるなと言っているわけではありません。
身の丈に合った対策が十分にこなせるようになれば、自分達に合う次のレベルを模索すれば良いのです。

いくら上から強制したって、重要さが理解できないことに本気で取り組んでくれるメンバなんてほとんどいませんから。

ですが、大企業、それもお客さんの重要情報を取り扱うIT企業の場合は事情が全く違います。

そもそも情報セキュリティ対策を何も取っていないのはありえません。
さらに、それをお題目に止めず、全社にその意識を侵透させ、常にレベルアップしようとする体制や意識を持っていることが前提です。

それを怠らないからこそ、お客さんから高い単価で仕事を得ることができるのです。

つまり、「がんばりすぎないセキュリティ」はまだ情報セキュリティ対策が不十分(もしくはほとんど手つかず)な中小企業に対するエールであって、「わからない、難しいけど、少しでいいからやろうよ。やったらちゃんとレベルアップできるから」という筆者からのメッセージであり、大企業に向けた話ではありません。

大企業は「稼いだカネ使ってちゃんとレベルアップする」のは当然の話です。だって、それだけおカネもらってるんだもん。


3. ルールを守らない理由

ここからは、2022年7月3日時点の情報をベースとした筆者の想像です。
ですので、事実誤認の可能性もありますし、筆者の想像が誤っている可能性も十分にあります。

今回の騒動を一言で言えば「緩み」でしょう。

ですが、「現場の緩みだ」で一方的に現場を悪者にして片付くものではないと筆者は思います。

市役所とIT業者間ではごく初期に合意ルールが作られたはずですが、相当に厳しいものだったのではないでしょうか。

前回に書いた「非現実的なルール」や「面倒な割に効果が見こめないルール」だったのかもしれません。

極端ですが「USBメモリの使用許可は1ヶ月前に書面にて市長に提出し許可を得ること」なんてルールがあったとします。皆さんならどうしますか?
「ねぇねぇ、この申請って現実ムリでしょ。私とアナタの間の合意でOKってことにしませんか?」と勝手にルールを変えてしまうケースは十分に考えられます。

もちろん、これはルール違反です。ですが、ルールそのものを改版することが担当者間で行えない場合は実にありがちな話です。そもそも、実務担当者にとってはルールの変更より、仕事をキチンと完遂できる方がよっぽど大切ですから。

一般的にルールというのは作るのは簡単で守るのは大変です。
しかも時間が経つにつれてルールは増え続け、滅多に減りません。これは当初のルールの穴を衝くような事故などが起き、その再発を防ぐために新ルールが増えるためです。

しかも、情報セキュリティというお題目では、守れそうにない厳しいルールが簡単に決められがちです。
しかも反対しづらいのです。誰だって「じゃあ、事故が起きたらアナタは責任が取れるのか!?」とやられると反対できないですよね。


4. 守ろうと思えるルールとは?

これを逆に考えれば守ろうと思えるルールの作り方も見えてきます。

要は、ルールを必要最少限にして「守った方がおトク」にすればいいのです。

「会社のおカネをネコババしない」のはほとんどの社会人が守ります。
なぜか?
ネコババしておカネを得られても、クビになったら明らかにおトクじゃないからです。(それ以前に倫理的にも問題はありますが今は現世的な便益から論じます...)

お客さんとの約束は守る、質の悪い製品は除外する、納期は守る、などはいずれも(守るのは大変でも)守った方がおトクだから、守るわけです。

逆に「黙ってればわからない」「バレなければおトク」な状況になるとゴマカそうとするケースが増えます。
様々な業界での試験結果の改竄事件などが典形的ですよね。

ルール策定も同様です。
守ろうと思えるルールを作れば良いのです。
などと書くとすごく難しそうですが、そうでもないのです。

そのルールは何のためにあるのか?それは誰を守るためにあるのか?を明確にするだけで、かなり納得度の高いルールになります。

例えば「お客さんの資産を持ったまま飲酒しない」というルールがそうです。

なぜダメなのか?正に今回のように泥酔したり電車や駅で寝込んでしまいカバンを盗まれる事故を防ぐためです。

今回の事故を起こした当人たちは「そんなこと言ったってちょっと一杯くらい問題ないよね」と思っていたのでしょうが、実際の置き引きの件数を知るとそうも言っていられません。置き引きは年に2万6千件、一日に70件以上発生しているのです。しかも検挙されているのはその30%程度。70%は見つかっていません。
今回の当事者はこの事実を知っていたのでしょうか?おそらく知らなかったのではないでしょうか。

知らなければ「そんな事故なんてそうそう起きないよ」と考えてしまっても仕方ありません。

もう一つ、今回「紛失の事実の後スグに報告しなかった」という大きな課題がありました。筆者は今回の騒動で一番の問題はここにあると考えています。

情報セキュリティ対策では、スピードは極めて重要なファクタです。

今回は状況証拠から盗難はなかったとされていますが、これがもし盗難であれば、初動の遅れは致命傷となる可能性があります。

例えば犯人が全市民に対して偽の郵便物を送ったとしましょう。
当事者が紛失に気付いた直後に報告していれば、IT事業者や市役所が連携することで郵便物の発送を食い止めたり、市役所やIT事業者のホームページなどで告知ができるかもしれません。
報告が遅れれば、全てが後手後手となり被害を拡げることになりかねません。

この当人にとっては、おそらく会社に報告することでペナルティがあることを心配したのでしょう。
今回の場合、当人がルールをいくつも破った上で泥酔しているのですから、報告しづらいのは当然でしょう。
それでも報告をしてもらえるような工夫は可能だったと思います。

例えば、インセンティブ(ごほうび)を用意するのも一つの方策です。
インシデント(事故)の報告が気づいてから5分以内ならルール違反があってもペナルティを大巾に軽減する、というルールを作るというのは一つの方法です。

本当に事故があった時には、スピーディーな対応が最優先されるべきです。それは組織防衛の視点からも考慮されるべきだと筆者は考えます。

とはいえ、こういったルールの策定は本当に大変です。このような焼け太りを認めるようなインセンティブには反対される方も多いでしょう。

このあたりは、各組織の文化にも大きく依存します。日常的にメンバの倫理感を高めることに腐心している組織なら「ウチは全く心配ない。必ずスグに連絡してくれる」とおっしゃるでしょう。一方インセンティブの設定が有効と判断される組織もあるでしょう。

こういったルールの決め方については、正解はなく組織毎に答えが違ってきます。

だからこそ、ルール作りは難しいのです。


5. 「しつこさ」は大事

ルールは決めた。いろいろな例外規定も考えた。全メンバがわかるような説明資料も作った。後は皆が守るだけだ。

ホントでしょうか?

ルールを決めた後にやる「すごく大切なこと」が残っています。

それは「しつこさ」です。

ヒトは時間が経つと記憶があいまいになり、自分の都合のよいように解釈するものです。
内容を正しく把握してもらうためには、繰り返しが必要です。

こういったセキュリティルールは何度も何度も繰り返し繰り返し全メンバに伝え続ける必要があります。

少なくとも年に一回は全員に資料を読んでもらいましょう。eラーニングのような方式がベストですが、資料作成にも実施にもおカネがかかります。せめて年に一回はセキュリティ責任者から説明資料とアンケート表(資料をちゃんと見ればわかるような簡単な質問集)を添付したメールを送付し、メンバからはアンケート表を送ってもらうようにしてください。

この作業に終わりはありません。毎年の作業は面倒ですが、2回3回と繰り返すことで間違いなくメンバへの侵透度が上がります。

非常に地味なのですが、忘れることへの対策としてはかなり有効です。


6. まとめ

尼崎の騒動では、当事者の意識の低さが話題になりがちですが、その裏には必ずそうなった理由があるはずです。

その実際は、今後の調査委員会の調査結果を待つしかありませんが、筆者は現場の「緩み」だけが全ての原因ではないと感じています。

ルールというのは決めればいいのではありません。
現実味のないルール、守る価値が認められないルールは守ってもらえません。守るメリットがないからです。

ルール策定するからには、「なぜ守るべきなのか?」だけではなく「守ると何がおトクなのか」という視点での説明や教育は絶対に必要です。

セキュリティ対策では迅速な報告が欠かせませんが、これを実現するには「報告した人を責めない体制」や「当人のペナルティを軽減する」といった例外規定を作ることも効果的です。

また、ルールを決めたからにはそれを「しつこく」発信し続けるのは情報セキュリティ対策の責任者の努めです。年に一回で良いので、全メンバにルールを再確認してもらえる機会を提供するようにしましょう。

今回は、守る気になるルールの作り方とその定着のさせかたについてお話しました。

次回もお楽しみに。

(本稿は 2022年7月に作成しました)

本Noteはメルマガ「がんばりすぎないセキュリティ」からの転載です。
当所はセミナーなどを通して皆さんが楽しく笑顔でITを利用いただくために、 難しいセキュリティ技術をやさしく語ります。
公式サイトは https://www.egao-it.com/ です。

この記事が気に入ったらサポートをしてみませんか?