情報セキュリティー対策といえば「サイバー攻撃」と発想する方も多いと思いますが、実は情報漏えいの原因としては組織内部の犯行が多いのです。
内部不正が起こる原因として、「動機」「機会」「正当化」の3つの要素が揃うと発生すると考えられ、これを「不正のトライアングル」理論と言います。
ざっと説明しますと、
動機:「借金があるためお金が必要」「給料が不当に安い」「ノルマが達成せきない」など。
機会:不正行為が行える環境があることで、機密情報へのアクセス権限を持っっていたり、誰にも見られない状況で他人のパソコンを操作できてしまうなど。
正当化:「みんなもやっている」「今回だけ特別」というように、良心の呵責を乗り越えてしまう身勝手な発想
ということなのですが、今後は働き方改革により不正行為のつもりはなくとも、勤務時間では終わらないので、本来持ち出し禁止のデータを持ち帰ってカフェや自宅で仕事をするといった、悪意のない不正行為も懸念されています。
内部不正の対策では、規定と罰則そしてログによる監視といった方法が主なものとなりますが、特に労使関係の信頼で成り立っている中小企業では「自分たちを疑いやがって!」とならないよう慎重に対応していく必要があります。
例えば、外部のコンサルタントやアドバイザーに依頼し、第三者より内部不正対策の重要性を従業員と一緒に経営陣も聞く、という流れでも良いかもしれません。その上でデータやデバイスの管理方法を、専門家を交えて実際に業務に携わる人と相談しながら決めていくことがよいのではないでしょうか。
また、上記のようにセキュリティー対策はやはりお金が掛かります。
経営者は「お金を生む事業」への投資だけではなく、「お金を守る事業」への投資も今後は必要になると思います。
