今回で私のコラムは最終回となります。拙い文章にお付き合いいただきましてありがとうございました。さて、今回は情報漏洩の不安です。最近は少し減ってきた感がありますが、ひと頃は新聞に情報漏洩のニュースが載らない日は無いぐらいでした。しかし残念ながら、これらの報道は「コンピュータ(インターネット)は情報が漏れるものだから怖い」もしくは「情報を漏らした悪いヤツが居る」という印象を与えるようなものばかりで、その本質を伝えるようなものでは無かったと思います。
では実際には、情報漏洩はどのように発生しているのでしょうか。小さな会社がコンピュータをインターネットに繋いだら、たちまち情報を盗まれてしまうのでしょうか。「情報漏洩が怖いから、うちの会社でインターネットに繋いであるパソコンは一台だけ」という社長さんにお会いすることも少なくないのですが、本当にそれで良いのでしょうか。
小さな会社のパソコンにインターネットを通じて誰かが侵入して来て情報を盗んで行くという可能性は、ゼロではないですが実は限りなくゼロに近いです。ウィルスに感染した場合に第3者が侵入して情報を盗みやすい状態になっているということはあります。また、ひどいウィルスに感染した場合には、自社のパソコン自身が積極的に情報をばらまいてしまうこともあります。ただし、これらの場合は誰かが情報を盗みに来たということでなく、誰が必要としているかも分からない情報が、外部の誰からものぞき見出来る状況になったに過ぎません。情報漏洩のニュースで「漏れた情報が悪用された形跡はありません」とコメントされることが少なくないのは、被害が出て情報漏洩が明らかになったのではなく、たまたま情報が漏れているところを見かけた通りがかりのインターネットユーザが「これはまずいんいじゃないですか?」と善意で連絡してくれて情報漏洩が明らかになったりするためです。
このように、被害に繋がるような情報の盗難の可能性は決して高くありません。悪い条件が重なった場合に大きな被害に結びつく可能性が無いとは言えませんが、しかるべき対策を取って、パソコンを十分に管理していれば大きな不安を持つ必要はありません。もっとも、ウィルス対策を全くしていないとか、個人所有のパソコンが社内LANに接続されているのを放置しているなど、重大な過失がある場合にはリスクは非常に高くなります。Winnyの使用禁止などの従業員教育も含めて十分な管理を行う必要はあります。
管理不足による情報漏洩は、インターネットに繋いでいなくても、社内にLANが無くても発生します。パソコンの盗難、記録メディアの紛失、などです。これらはデジタルデータでなく紙に印刷された情報でも発生する可能性があるものですが、デジタルデータの場合には膨大な量のデータをメモリなどに格納して簡単に持ち運べるうえ、簡単にコピーが出来てしまうため、紙媒体とは影響の大きさが段違いです。紙資料をコピーして渡す場合に間違ったものが混ざったとしても、ある程度のところで気が付きますが、USBメモリにデータをコピーして渡す場合には、間違ったデータが混ざっていたとしても膨大なデータを丸ごと渡してしまって気が付かずに済んでしまう可能性があります。また、情報が格納されたCD-ROMやMOが机の引出や書棚に不注意に置かれていて誤って持ち出された場合にも、データはあっという間にコピー可能です。管理不足による不注意が重大な結果をもたらすのです。不注意の典型的なパターンとして車内に置いてあった情報の入ったパソコンが鞄ごと盗まれるという事例は実際に数多く報道されている通りです。実はデジタルデータの情報漏洩の事件の2/3以上はこうしたケースであり、話題性からWinnyによるものが取り上げられていることを除けば、報道されているものもほとんどがインターネットを介するものではないのです。
さらに件数は少ないですが、管理不足よりも確実に重大な被害につながる情報漏洩のパターンとして、悪意による情報の不正持ち出しがあります。会社に対する恨みであったり、転売目的であったり、いろいろなケースが考えられますが、内部による犯罪行為です。関係の悪化した下請・外注先がこっそり情報を持ち出し、しばらくしてから同業他社の不自然な振る舞いによって情報漏洩があったことが発覚する場合もあります。巧妙な犯罪が行われた場合には防ぎにくいということはありますが、少なくとも、どこにどのような状態で重要な情報が保管されているかは管理者が十分に把握しておく必要があります。まるで現金をデスクの上に散らかしているようにパソコンのデスクトップに重要な情報が放置されている会社も希にあります。それでは犯罪を誘発しているようなものです。
管理不足、悪意のある行為を問わず、これらの問題への対応として、データを持ち出せないようにUSBポートを塞ぐとか、FD・MOなどのドライブを全て外すとか、端末に一切データが残らないようにハードディスクも搭載しないパソコンにするとか、様々な物理的対策がありますが、これらは利便性を阻害することになります。ある程度の利便性を確保した上でこれらの対策を実施する場合には、多大なコストをかけて特殊なITシステムを導入しなければならなくなります。しかしそうした対策をしたとしても、悪意を持ってデータにアクセスする内部者を完全に排除することは難しいのです。
結局のところ情報漏洩の原因は、悪意であれ、不注意であれ、人の問題です。人を管理するにあたって大きな会社の場合は、日頃の振る舞いや性格まで一人一人を個別に管理するのは困難です。それゆえ前述のようなコストをかけたシステムに頼らざるを得ない部分があります。これに対して小さな会社はコストをかけることが出来ない代わりに、従業員一人一人を把握することが比較的容易です。小さい会社だからこそ、人の管理と内部統制の整備によって情報漏洩の不安はかなり解消できるのです。
3回の話で私が述べさせていただいたIT不安を解消するための結論は、トラブル対応準備を十分に行う、会社の課題を十分に把握する、人の管理を十分に行う、という当たり前のことでしかありません。しかし、特に小さな会社ではこれらが最も重要で有効な手段であることも事実です。もっとも、こうしたことは小さな会社の経営者にとっては難しいことに思えて何から手を付けて良いのか分からない場合も少なくないと思います。社内で会議を行い、じっくり問題点を洗い出してみれば案外簡単にそれぞれの会社に合った方策が見つかるものですが、それでも難しい場合には専門家のアドバイスを受けるのが近道だと思います。
