今回は「人によってブレない重要情報の判断ルールを作る」というテーマについて解説しましょう。情報漏洩対策を考える場合,どの企業もセキュリティに関するルールを設けます。組織に所属する人は,そのルールを守ることが義務付けられます。ところが,このルールを決める際に情報漏洩対策の実効性を弱めかねない重大な落とし穴があります。それは,定められたルールの解釈が人によって異なる可能性があることです。その解釈が本来意図している内容と食い違ってしまうと,ルールを守っているつもりで実はルール破りの行動をし,重要情報を漏らしてしまうといった事態を招く可能性があります。

あなたの会社のメールセキュリティルールは?

 「あなたの所属する会社や組織にはメール・セキュリティのルールがありますか?」と尋ねられれば,大抵の方は「はい」と答えるでしょう。ルールにもいろいろありますが,例えば「“重要なファイル”には必ずパスワードなどのセキュリティ設定を施す」といったものが挙げられます。

 では,「“重要なファイル”とは,どのようなファイルですか?」と聞かれたら,どうでしょう。一般的なセキュリティ意識を持ち,組織のルールを守ろうという姿勢を持っていても「機密情報とか・・・,個人情報など・・・です。」と,あいまいで歯切れの悪い答えを返す方は少なくないはずです。

 この歯切れの悪さは,ルールが周知されていないことだけが原因とは限りません。むしろ,的確な答えが分かりづらいルールの記述に問題があることがあります。

 よくあるのは,「機密情報や個人情報は,パスワード設定や暗号化をせずに送信してはいけません」といったルールです。このようなあいまいなルールしか周知されていないと,いま自分が送信しようとしているファイルが本当に自分の組織において機密情報なのか,その判断が個人に委ねられてしまいます。送ってしまってから,「機密情報とは思わなかった」,「大丈夫だと思った」という,無責任にも聞こえるコメントが発せられるのは,このためです。でも,この場合,本当に無責任なのはルールそのものです。

 極端な例ですが,昔からある「このはしわたるべからず」,「ここではきものをぬいでください」といった笑い話を考えると分かりやすいかもしれません。これらは「橋」と「端」,「着物」と「履き物」という,意図的に違う解釈をするものですが,言葉遣いや表現によっては,セキュリティ・ルールでも,こうした解釈のブレが生じる可能性があります。ルールの言葉遣いや表現には,実は細心の注意を払わなければならないのです。

ないないづくしはダメ

 ルールの策定方法について,もう一つ重要なポイントがあります。禁止行為を例で示し,「本来は禁止されるべき行為」を言外に含めてしまいがちな点です。「ルールの目的を理解していれば,文面に明記されていない行為でも禁止かどうか判断できるはず」という考えが根底にあります。

 前述のあいまいなメール・セキュリティのルールとして,「機密情報や個人情報は,パスワード設定や暗号化をせずに送信してはいけません」という例を挙げましたが,ただ,このルールでは「ほかに,してはいけない行為があるのか,代替手段はないのか」といった点が分かりません。ここでも,人によって「これはセキュリティ設定に該当するから良いだろう」と勝手に判断してしまう危険があります。筆者がコンサルティングを担当した事例のなかには,単に拡張子だけを変更して送信してしまった,といったケースもありました。まさかと思うかもしれませんが,誰がどのように解釈するか分からないルールならば,様々な想定外の問題が生じる可能性があります。

 情報漏洩対策のためのルールというと,どうしても従業員の行動を規制する視点から見てしまうため,「~してはいけない」,「~すべきでない」という “ないないづくし”になりがちです。ただ,してはいけないことを挙げ始めるとキリがありませんし,従業員も縛られている感覚が強くなります。

 情報漏洩対策のためのルールでは,はっきりとやっていいことだけをルールとして掲げるべきです。前述のメール・セキュリティの例で言えば,「会社の情報セキュリティ・ポリシーで規定されている機密情報レベル2以上および個人情報に該当するデータをメールで送信する場合は,8文字以上で英数字記号をすべて含むパスワードを設定するか,会社規定の暗号化ソフトを使用して暗号化した上で送信すること」という具合です。

 この際,会社の情報セキュリティ・ポリシーや各種規定とのリンクを盛り込んでおくとさらに良いでしょう。機密情報とは何なのかをルールの中にそのまま書いてしまうのではなく,情報セキュリティ・ポリシーとして決まっているものだと認識させるわけです。他のルールも同じようにポリシーとリンクさせていけば,情報漏洩対策に関するすべてのルールがポリシーを通じてつながります。こうすると,ルールに一貫性があるため従業員がルールを理解し,判断しやすくなるだけでなく,情報セキュリティ・ポリシーに対する認識が深まり,組織全体のセキュリティ風土が醸成されていきます。

 情報漏洩対策のルール一つとってみても,少し工夫するだけで効果は大きく変わります。今回は,その工夫として,「あいまいな表現をしない」,「してはいけないことではなく,すべきことだけをはっきりさせる」,「組織のポリシーとリンクさせる」という3点を挙げました。まず,自分が所属する組織のちょっとしたルールについて,人によって判断がブレない表現になっているか,自分の解釈と周囲の人の解釈を確認してみてはいかがでしょうか。


小川 真毅
ベライゾン ビジネス
グローバルサービス本部 プロフェッショナルサービス
シニアコンサルタント