人事と情報セキュリティ

Contents

1. 人的脅威について考えよう！
2. 不正のトライアングル
3. 人的脅威に備える

人的脅威について考えよう！

今回は、前回投稿「情報セキュリティを考えようQQ」にて触れた、「人的脅威」について掘り下げてみましょう。

まずはおさらいです。
情報セキュリティにおける「人的脅威」とは、操作ミスでデータを消去してしまうなどのトラブルの他、不正アクセス、情報漏洩、データ改ざんなどの、悪意ある行為によって引き起こされる脅威を指します。
つまりは、人の手による情報被害リスクのことです。

前回投稿でお伝えした通り、人のよい経営者の方にとっては特に盲点となりやすい脅威です。
信頼していたスタッフに不正行為を行われたとしたら、経営者の方のショックも大きいでしょう。
人的脅威は、実損の被害はもちろん、スタッフに裏切られたことによる経営者の精神的被害も大きな問題と言えます。

不正のトライアングル

「人が不正行為を働くまでの仕組み」をまとめた「不正のトライアングル」という理論があります。
この理論では「機会」「動機」「正当化」の３要素がそろったときに不正行為が発生するとされています。

≪機会≫
不正を働きやすい環境や状況が存在している。
（例）誰でもアクセスできるパソコンで個人情報を管理している、など。

≪動機≫
不正を行う要因となる事情や背景が存在している。
（例）経済的に困窮する社員、会社に恨みを持つ社員、など

≪正当化≫
都合のいい解釈や他人への責任転嫁など、本人の思考に自分勝手な理由付けが存在している。
（例）うちの会社は汚い商売で利益をだしているから経費を水増しても問題ない、といった思考など。

残念なことに、不正行為は、どんな会社でも起こりえます。ですが悲観する必要はありません。問題が起こりうる、と予想できるのならば、対策を立てればいいのです。

人的脅威に備える

ミスや失敗は誰にでもあります。だからといって、重要なデータの管理や、大きな案件について、ミスなど気にせず～というわけにはいきません。
スタッフ一人ひとりが気をつけるのは基本ですが、会社としての対策もしっかりと考えていきましょう。

【ミス軽減の対策案】
　・作業のダブル(トリプル)チェックを行う
　・データ変更の際は別名保存を徹底する
　・チーム全体で作業の「目的」「プロセス」「ゴール」の共通認識を持つ
　・共有の連絡書類を作るなど伝達ミスを減らす手段を考える　
　・データバックアップを定期的に行う

上記の他にも、様々な対策が考えられると思います。
ご自身の会社にあった対策や仕組みを、スタッフの方々も交え、ぜひ一度ご検討されてください。

次に、悪意ある行為・不正行為について、上述の「不正のトライアングル」をベースに対策を考えていきしょう。

不正のトライアングル【機会】への対策
「機会」への対策は社内の環境や設備の整備・管理が基本になります。

・パソコンへのアクセスに制限を設ける
・データ管理室やサーバ管理室などの入り口にカギをかける
・情報をデータ化せずあえて紙ベースで管理し金庫に保管する
・管理室や金庫のカギは特定のスタッフのみで管理する
・データへのアクセスログや管理室への入室チェックを行う

上記の例を参考に、特に物理的な面から可能な対応を行ってください。

不正のトライアングル【動機】および【正当化】への対策
「動機」「正当化」については、その発生原因がスタッフ個人に由来する部分も多く、対策を立てにくいのも現状です。
まずは不正の機会を作らないための対策をしっかりと行い、動機や正当化へ移行する可能性を減らすことが重要です。その上でやるべきことは包括的な人事労務問題への対策です。

ＡＬＴのコンサルティング業務に基幹業務支援があります。
基幹業務とは、販売や会計、人事労務など、会社の業務遂行のために必要な主要業務のことで、経営の基本業務とも言えます。
この基幹業務における人事労務管理に「人的脅威」への対策のヒントがあります。

会社でスタッフを雇用した場合「就業規則」の設置(作成)義務が発生します。
就業規則には、社員がルールを破った場合の罰則(懲戒など)の記載がありますが、この中に、情報資産の取り扱いについてのルールや罰則を明記することで、不正の抑止を行うことができます。

そのほか、守秘義務や情報管理に関する誓約書、情報セキュリティに関する罰則や賠償についての説明書類など、不正抑止に効果的な書類を作り、スタッフへの周知や事前同意などを取っておくことも重要です。

要は「うちの情報セキュリティはあまくないぞ」「不正を働いたら相応の対応をするぞ」という会社の意思を提示し、日常的に不正の芽を摘みとっていくことが狙いです。

内容をまとめると「人的脅威への対策＝人事労務管理の徹底」ということになります。

今回の投稿は、不正防止の観点から、内容がルールや罰則メインになってしまいましたが、人事労務の管理で本当に重要なのは、社内の円滑な人間関係の構築です。

日ごろからの、スタッフへの目配り気配りが実はとても大切な仕事である、ということを、経営者の皆様はしっかりと心に留めおかれてください。

ここまでお読みいただきありがとうございました。次回投稿にもご期待ください♪

Posted by ＡＬＴ