「情報管理には“気をつけていたつもり”でした」
サイバー事故や個人情報漏洩の報道で、こうした発言が関係者から繰り返されることがあります。
けれども、
「つもり」
では済まされないのが、情報漏洩というインシデントの厳しさです。
ある情報通信系のスタートアップで、クラウドに保管されていた顧客データが、外部から閲覧可能な設定になっていたことが判明しました。
社内では、
「セキュリティは意識していた」
「全員に研修はしていた」
といった声が上がりました。
調査をすすめるうちに浮かび上がってきたのは、リモートワーク環境のなかで、情報共有を円滑に進める目的でクラウドを導入していたという事情です。
チーム内では
「アクセス制限は各自が責任を持ってやっている」
という
「暗黙の了解」
があったそうです。
しかし、アクセス管理の具体的なポリシーがなく、組織としてその方針を明文化しておらず、設定方法もメンバーに一任されていたのが実態でした。
結果として、
「見られないはずだったファイル」
が、世界中の誰でも閲覧できる状態で放置されていたのです。
「大丈夫だろう」
「見られないはず」
という“感覚”のもとで、リスクが放置されたことになります。
技術の問題ではありません。
これは、
「組織の構造が甘かった」
ために起きた事故です。
リスク管理を
「感覚」
で捉える限り、事故は避けられません。
むしろ、
「今まで何も起こらなかったから大丈夫」
という空気が、最大のリスクとなるのです。
組織の安全とは、こうした
「なんとなく」
を許容しているかどうかで、決まります。
リスクは可視化されない限り、見過ごされます。
そして、何か起こった後に
「誰の責任か」
がわからなくなるのです。
スタートアップ企業なら、なおさらのこと。
立ち上げたばかりの頃は、メンバーのほとんどが
「前職の同僚」
や
「知り合い経由」。
気心の知れた間柄でスタートした分だけ、
「誰が何をどこまで責任を持つのか」
が、きちんと決められないままになっていました。
「社長が言うなら」
「○○さんがそう言ってたし」
そうやって、責任の所在がぼやけたまま、組織が動いてしまっていたのです。
それが、
「管理されていた“つもり”」
という最大の落とし穴につながっていたと言えるでしょう。
だからこそ、情報管理は、
「構造として設計」
される必要があります。
アクセス権限の明示、ログ管理の仕組み、定期的な設定レビュー、そして違反時の対応手順など
「ミエル化」
「カタチ化」
「言語化」
「文書化」
「フォーマル化」
この5つの手続きがあって、はじめて
「安全」
は保証されます。
言い換えると、それらすべてが、
「ミエル化」
「カタチ化」
されていなければ、真のリスク管理とは言えないのです。
具体的に言うと、情報通信業において必要な安全管理の構造とは、次のようなものとなります。
・アクセス権限の明確なルールと社内研修
・ログ取得とそのモニタリング体制
・共有フォルダの使用ルールと定期レビュー
・インシデント発生時の対応手順書
・機密情報とそうでない情報の分類ポリシー
これらが設計され、
「文書化」
され、運用されているか。
そこにこそ、
「管理されているか否か」
の本質が問われるのです。
裏を返せば、
「記録がない組織」
は、
「何もしていなかった」
と見なされても、反論できません。
安全とは、
「注意していたかどうか」
ではなく、
「説明できるかどうか」
にかかっています。
リスク管理の本質は、
「起きたときに説明できるように備えておくこと」
です。
今回のクラウド事故の根本原因は、技術ではなく、構造だったのです。
セキュリティ事故の本質は、技術の限界ではありません。
組織の姿勢、そして
「仕組み化への覚悟」
の有無にこそ、問われるものです。
安全を守るのは、感覚ではなく、構造なのです。
著者:弁護士 畑中鐵丸 /著者所属:弁護士法人 畑中鐵丸法律事務所
【本記事をご覧になり、著者・所属法人にご興味をお持ちいただいた方へのメッセージ】
✓当サイトをご訪問いただいた企業関係者の皆様へ:
✓当サイトをご訪問いただいたメディア関係者の皆様へ:
✓当サイトをご訪問いただいた同業の弁護士の先生方へ:
企業法務大百科® 開設・運営:弁護士法人 畑中鐵丸法律事務所
