情報セキュリティ規約違反の罰則がどこの会社も甘いんでないでしょうか
レッドブルは翼でなくこたつを授けたほうが人のためになるんじゃないかと思う今日このごろ。
こんにちは、松井です。
今日は情報セキュリティについてです。
大木さんのブログでこんな記事を見かけました。
【働き方の見直し3】テレワークを導入するには?:「走れ!プロジェクトマネージャー!」
http://blogs.itmedia.co.jp/tooki/2014/02/post-4063.html
そのなかで、気になったのはここ。
そもそもセキュリティに対する「コスト」は、悪いことをする人、間違ったこと、ミスを犯す人を補うために発生するコストですが、責任や覚悟を持たない社員を補うコストというものもあります。これが、責任や覚悟を持つ仕組み、あるいは覚悟があれば、そのコストは報酬にまわすことが可能になるのだと思うのです。余計な支出がなくなりますからね。
セキュリティに対するコストが「悪いことをする人」のために発生すると言うのは確かにそうです。みんなが善人なら必要のないことです。
ただ、そうも言っていられないので必要悪としてどうしてもこのコストは発生します。
このコストを抑えるために必要なことはなにか、少し考えてみました。セキュリティコストを抑えるために必要なことは
- 正しい知識
- 従業員の危機感
- 再発防止
この三点ではないかと思います。この三点が完璧ならばセキュリティを高めるためのシステムは不要になりますが、当然完璧にすることは不可能なので対策が必要になります。
正しい知識をつけるためには教育とトレーニングが必要で、これはどうしても避けられないでしょう。この部分のコストをケチると後々それ以上の損失が発生してしまいます。
従業員の危機感と再発防止の二点はいっぺんに対策する方法があります。
それは、規約違反への厳罰化に尽きると思います。
乱暴なように聞こえますが、規約違反やセキュリティ事件、事故を起こしたら厳しい罰を受けるとなったら気をつけようという気になるでしょう。
なにも違反者の人生が立ち行かなくなるほどのことをしろということではありません。どちらかと言うと、現状の企業の罰則適用があまりにも緩すぎるので適正化したらいいのではないかという話です。
セキュリティ規約に違反した状況を何度か目にしましたが、どの企業でもほとんどが注意喚起で終わっていました。そんなことでは情報を扱う人にとっては「違反がバレたところで注意されて終わり」とたかをくくるのも無理はないかと思います。
セキュリティ事件、事故の8割は内部の人が起こしているのです。ですから、教育と規則、罰則を適正に適用することで情報システムの強化を最小限に押さえられます。
どこの企業も規則やシステムでガチガチに固めてはいますが、抜け道なんていくらでもありますからね。
厳罰化にはそれこそ経営的な覚悟が必要でしょう。しかし、その覚悟をしなければいつまでたっても無用なセキュリティにコストを払い続けることになりそうです。
結局のところ人対人で真剣に向き合わなければいけないのでしょう。事なかれ主義ではどうにもならないのですよ。
ちなみに、情報セキュリティについては以前もエントリーを書いていますので、興味があればご覧になってください。
情報セキュリティはまじめにやるほど脆くなる:IT向上化計画
http://blogs.itmedia.co.jp/itmission/2011/11/post-ad9f.html