“企業に役立つ防犯技術”を振り返る：ビジネスに差がつく防犯技術（13）（1/2 ページ）

本連載では“防犯”の観点から、社内のさまざまな問題を取り上げてきた。今回は、いままでの総括として日本人のリスクの低さや性弱説の重要性、権限の漏えいなどの防犯技術の肝を事例を交えて紹介する。

　さて、今回はいままで連載してきた内容について振り返りながら、防犯の技術を整理していく。

　今回から2回にわたって、いままで連載してきた内容について振り返りながら、防犯の技術を整理していく。連載中には触れていなかった事例や補足説明も加えた。

サイレンを勝手に訓練だと思い込む日本人

　本連載の初めに「日本人のリスク意識がいかに低いか」について述べた。

　火災警報が鳴っても勝手に訓練や誤報だと決めつけたり、職場に知らない人物が入ってきても関係者だと勝手に決めつけたり、喫茶店や居酒屋をまるで自社の会議室かのように仕事の話を大声で話し合ったりしているケースが少なくない。

　バックアップやウイルスチェックの未実施といった「情報セキュリティにおける問題状況」、テストしていないExcelマクロなどの「日本版SOX法上のIT統制における問題状況」もまた、こうしたリスク意識の低さの延長にすぎないのだ。

　自己都合的な解釈や自分勝手な判断を排除して、危険は危険として、警告は警告として、そのまま認識できるような職場作りが何より先決である。

内と外との区別があいまいな日本人

　初詣などで、神社の鳥居をくぐった経験は多くの人があるだろう。

　しかし、鳥居をくぐることの意味を知る人は、いまでは少なくなってしまった。実は、鳥居をくぐるとその先は神の領域であり、鳥居をくぐらずに神社の境内に入っても神の領域に入っていないのだ。鳥居の意味など、神仏を信じない者にとってはどうでもよいことだろうが。

　これと同じことが、パスワードによるログイン認証にも当てはまる。

　パスワードでログインするのは、鳥居をくぐって神社にお参りするのと同じことである。パスワードも社内外の区別ができない者にとっては意味がない。形だけのパスワード保護は会社を危うくするばかりだ。

　社内と社外を区別するための経営理念の徹底が、何より大切である。

　そして、経営理念を共有せず“社内情報を守りたい”という気がない人間には、そもそもパスワードを与えてはいけないのである。

性善説でも性悪説でもない性弱説

　困っていることがあり、“よくないこと”と理解していながら、仕方なく悪に手を染めたという事例が後を絶たない。

　根っからの極悪人というのは少ないけれども、どんな窮地に陥っても悪に手を染めずに済む人も少ない。性善説でも性悪説でもなく、“性弱説”で考えなければ不正を防ぐことができないのである。

　不正は、「動機」「正当化」「機会」の3つがそろうときに起きる。

　借金や家族の病気などによって「大金がほしい」という動機を持つことは、誰に対しても転落への入り口となる。

　そして、「盗むのではなくて後で返せば借りているのと同じだ」「給与が不当に低いのだから少しくらい借りてもいいだろう」という正当化をしてしまえば、後は、「事務所を1人で任されている」「金庫の鍵を預けられている」という機会があることによって、魔が差してしまう危険性が非常に高まることになる。

　面白いことがやってみたいという「動機」と、誰も分かってくれないという「正当化」の2つをそろえてしまっている少年たちに、非行の「機会」を与えないために警察官はパトロールしている。

　企業における内部統制もまた、社内非行の「機会」を与えないためのパトロールといえるのではないだろうか。

情報の漏えいは権限の漏えいが原因

　Winnyによる情報漏えい事件の記事が、新聞から消えることがない。

　しかし、だからといってWinny対策だけをすれば、問題がすべて解決するのだろうか。実は、Winnyによる情報漏えいの前に、資料の無断持ち出しや業務の変更という「権限の漏えい」が起きているのだ。

　「権限の漏えい」が起きないようにしない限り、情報漏えいは収まらないだろう。部門も役職も無視する電子メールが氾濫（はんらん）している。フランスの経営者・経理理論家 アンリ・ファヨールは管理過程論で「権限と責任の一致」の重要性を説いていた。

　新技術の登場に合わせて、次から次へと出てくる新たな情報セキュリティ脅威に対してお手上げになる前に、職務権限規程の徹底に取り組んでみてはどうだろうか。