ウイルス対策と同時に、内部からの機密漏洩対策を
2001年を振り返ると、世界的に猛威をふるった『Code Red』や『Nimda』等のウイルス騒動を契機として、かつてないほど「セキュリティー」という言葉に焦点が当たった一年だったと思う。真偽のほどは定かではないが、最近ではワクチンソフトそのものを消し去るウイルスも登場したそうだ。年初にあたり「今年はセキュリティー固めを入念に行なおう」と考えている経営者も少なくないのではあるまいか。
言うまでもないことだが、ひとたびウイルスに侵されれば、データの流出や破壊、システムのダウン、対外的な信用の失墜など、様々な弊害が引き起こされる。厄介な世の中になったものだ。しかし、これはIT化によって得られた利便性と引き換えにもたらされているとも言えるわけだ。今さらIT化を止めるわけにはいかない以上、セキュリティー対策も経営上の重要なテーマの一つとして認識すべきである。今後はその機運もますます高まっていくはずだ。
●IT化が進むのに比例し、様々なリスクが頭をもたげてくる
ウイルスがらみのニュースは大々的に報道されるせいもあるのだろうが、ワクチンソフトやファイアウォールを導入するだけでセキュリティー対策は事足れりとする経営者が少なくない。勘違いして欲しくないのは、「セキュリティー固め=ウイルス対策など外部からの防衛」では完結しないということだ。単にウイルス対策を施しただけでは(例えそれが完璧なものであっても)、セキュリティーは半分も固まっていないのである。
いや、これは経営者だけの問題ではないのかもしれない。以前、さる中堅企業でIT活用研修の講師を務めた時、「身近にあるリスクとは何ですか?」と社員に質問してみたことがある。残念ながら、半数が「分かりません」「見当がつきません」という返事だった。社員の意識がその程度ならば、いくらトップがリスクヘッジの研修会など実施しても、砂漠に水を撒くようなものだろう。
前段で述べたことの繰り返しになるが、IT化が進むのに比例してリスクも増大することを忘れてはいけない。各種データを一元管理できるようになったのは、情報の共有化という点でも無駄な重複作業が減らせるという点でも、確かに便利だ。しかし、それは一方で、「一元管理」ゆえに機密データが社内外に容易に流出しかねないリスクをはらみ、ウイルスや悪意ある第三者の不正侵入といった問題を抱え込む。そして、その悪意ある第三者に社員が成りうる可能性は高い…こういう認識をトップ以下社員全員が肌身にしみて共有することこそ、セキュリティー対策の核心なのである。
社員性善説こそが日本的経営の特徴だったわけだが、残念ながら、今後はそれ一本槍では通用しない。社員に「機密漏洩は犯罪である」と自覚させるための方策も、万全を期して採っておきたい。どれほど堅固なセキュリティーも、企業の内側からデータを持ち出されることには(残念ながら)無力だからである。
●今後は「社員性善説」だけではやっていけない
これは多くの良識ある読者には不愉快な話かもしれないが、最近では、社員・元社員に対する機密漏洩時の民事訴訟の手続きが簡素化されるなどの法整備が進んでいる。裏を返せば、それだけ社員によるデータの持ち出し・不正使用が増えているということの証左なのである。
これだけ経営環境が厳しいと、むしろ会社への忠誠心が高い社員ほど、挫折感、行き詰まり感を持ちがちである。そして、ストレスが高まり、その発露として機密漏洩に手を染めるというパターンが非常に多いようだ。こうしたリスクと無縁でいられる企業など、存在しないと言ってよいだろう。
セキュリティーを語る上で、ウイルス対策は欠かせない要素であることは確かである。しかし、その前にしておかなくてはならないことは、内部からの機密漏洩というリスクを見据え、それを防ぐための社員・スタッフ一人一人の意識改革なのである。過去このコラムで、「IT化を成功させる鍵は、社員の意識改革にある」という内容のことをしばしば述べてきた。それはまた「セキュリティー対策」に対しても同様なのである。
リスクをまっすぐに見据え、そこに手を打つという作業は、中堅・中小企業にとって非常にハードルが高いことは百も承知である。しかし、そうした課題に果敢に立ち向かう勇気こそ、これからの経営者に求められるものなのだ。
(本記事は、「SmallBiz(スモールビズ)※」に寄稿したコラム「近藤昇の『こうして起こせ、社内情報革命』」に、「第16回 ウイルス対策と同時に、内部からの機密漏洩対策を」として、2002年1月15日に掲載されたものです。)
※日経BP社が2001年から2004年まで運営していた中堅・中小企業向け情報サイト