SNS内部情報漏洩事故は「結局どうすれば起きないのか？」の根本思考がずれている

最近目立って多くなってきた発信元SNSの内部情報漏洩事故、企業社員が起こしたものや、以前からあるバイトテロのようなものまでも目立ってきました。元々あったものが掘り起こされたり、新たな火種が同時多発的に起きていたり...まぁ、火の無い所に煙は立たたない事だけは明白です。

参考：

銀行員が支店内でBeReal投稿した映像、Xで拡散 西日本シティ銀が謝罪 顧客7人の氏名が流出

原因は「BeReal」？ 新入社員"情報漏えいラッシュ"、「SNS禁止」だけでは止まらないワケ

創業80年の企業も「BeReal」不適切投稿で謝罪 取引先が巻き込まれ対応に苦慮

このニュースが出てから色々な方々の考え方を目にしますが、じゃあ結局どうすれば起きないの？というものが見えません。

前回のブログでも書きましたが、

それを知っていることと、実際に出来ることは違います。

何がダメなのかをしっかりと考え抜かなければ、また同じことは起きます。火遊びは危ないからダメではなく、なぜ火遊びが危ないのかという知識を知恵に変えられなければ意味がありません
【リアル情報セキュリティ研修ネタ】新年度から多発してるSNS情報漏洩事故から見つめ直すこと

・ダメなことは知らなければならない（具体的にBeRealダメ）

・ダメなことはしてはイケナイ

と、読めば誰でもわかる簡単な事なのです。じゃあなぜ起きるのか？と。知っていることと、実際に出来ることは違う。

失敗したセキュリティ対策の末路を多く見てきましたが、

対策したい側のとにかくダメなことを積み上げていく方式でセキュリティ対策が形骸化していくこと。言いたいこともやりたいことも理解できますが...

クレヨンしんちゃんの場合、ママとのお約束条項が100個以上あるらしいです。ダメな言動は随時追加されていくからです。キャラ的にも全部やらない（出来ない）し、出来るようならば、そもそもこんなに増えないという無限。

具体的にBeRealはダメと言われれば、それはダメなんだ...となりますが、具体的な項目だとその型以外どんどん増えていきます。

ならば、一段抽象度を上げてSNS禁止にすれば、そうなんだ...ダメなんだとわかるはず。少ない条項で包括的にダメを伝えられる！と。。。思いたい？願いたい？、

そんなのできるわけがない

もう答えは出てるのですよ。こんなこと、社員研修でもバイトでも、口頭でも書面でも既に伝えてること。ならば、知っているから、出来るはずだよね。ってことのはずですが、う～ん、現実はそうでない。

ダメなことはダメなのだからダメなのだ！というバカボンパパの名言のような言葉を、どのレベルで理解できるか？という難しい問題があります。言葉のままダメの連発でダメのダメ出しのようなこと。深さが理解できれば別な解釈も出来るかもと。

前回書いた、

何がダメなのかをしっかりと考え抜かなければ、また同じことは起きます。火遊びは危ないからダメではなく、なぜ火遊びが危ないのかという知識を知恵に変えられなければ意味がありません

なぜダメなのかを知れば応用が効く

これ根本的なことを理解して知恵に変えられれば応用が効くのは、セキュリティ以外でも同じこと。

触っちゃダメと言われれば触りたくなるようなもの。根本はなぜ触っちゃダメなのか？を知っていれば、好奇心では触らない。
火遊びは、ヤケドもする → 死ぬかもしれないし、痕が残るし、治療も長くかかると。火事にもなる → 死ぬかもしれないし、人を巻き込むかもしれない、延焼するかもしれない、大切な写真も燃えるかもしれない...と、
その先に起きることを具体的にイメージすることで、好奇心ではやらなくなる。そもそもストップがかかり、やりたくなくなる。情報漏洩事件でも同じことで、うっかり以外ならば、やりたくなくなる。戦意喪失環境を作ること。

ここまでの応用が出来るようならば、情報セキュリティの根本を多少なりとも理解出来ているので、具体的なダメから、同じ具体的でも根本思考が芽生えるので、もっとセキュリティ思考が深まる（はず）

何ごとも根っこに戻ることですね。