これらの結果は正直、腑に落ちるものがある。ISMSとは、要するに企業に対し「社内の情報を外部に漏らさないためには、こういう管理体制を敷きなさい」というガイドラインを提示するもの。しかし、それらのガイドラインは往々にして形式的に導入されるに過ぎず、社員に本気で「社内の情報を守ろう」という意識を抱かせるものではない。むしろ悪事の証拠がログとして残ってしまう監視ソフトの方が、社員を怯えさせて、結果的に情報漏えいなど不正行為を抑止する効果が発揮されるようだ。前述のアンケート調査結果は、社員自らがそれを認めた格好になる。
社員監視は会社の姿勢をアピールするため
しかし、そうした心理的な「抑止効果」とは別に、情報漏えいを物理的に阻止する力が監視ソフトにあるのだろうか? これは実際のところ、かなり微妙な問題で確たることは言えない。
今回のベネッセ漏えい事件では、「USBメモリの使用」を禁止していなかったことが問題とする報道もある。確かに監視ソフトを使ってUSBを禁止し、ファイルへのアクセスを厳しく制限すれば、業務用パソコンからの情報漏えいは、ある程度まで防げるような気もする。しかし実際には、まず間違いなく、そうした対策をとっているはずの他の大手企業から、現在でも情報漏えい事件が起きている。
もちろん「仮に監視ソフトでアクセス制限をかけなかったとしたら、企業からの情報漏えい事件は今よりも、もっと多く発生していたはずだ」と見ることもできる。が、それはあくまで仮定の話に過ぎない。
実際のところ、筆者が話を聞いたシステム管理者たちは「監視ソフトには抜け穴がいくらでもあり、これで情報漏えいを防げると思うのは間違いだ」と認めている。では、実質的な効果がそれほど期待できないソフトを、なぜ企業は次々と導入するのか?
その理由は対外的な姿勢を見せることにある。つまり「当社は監視ソフトを導入することによって、顧客情報の保護に全力を尽くしている」ということを社会に向けて示すのが本当の目的なのだ。逆にこれをやらないと、仮に情報漏えい事件が起きたときに、裁判で「出来る限りの情報漏えい対策をとらなかった」と指摘され、巨額の損害賠償を支払わされる恐れがある。つまり監視ソフトは、その実質的な効果よりも、それを導入するという行為自体に、企業にとって大きな意味があるのだ。
監視以前にすべきことはある
以上をまとめると、こうだ:社員の監視ソフト、ひいてはそれを中心とする監視システムは日頃から社員の不正行為を心理的に抑制する効果は確かにある。しかし「転職先に、今の会社の顧客名簿や技術情報をもっていくぞ!」、あるいは「金が欲しいから、どうしても会社の名簿を売りたい」といった、確固たる決意と悪意をもった一部社員の行動を止める効果はほとんど無い。
確かに、この種の漏えい事件が起きた後、犯人を特定するためにログ管理ソフトは効果的かもしれない。しかし、それより重要なことがある。今回の事件が発覚したのは、ベネッセに登録した個人情報が他社からのダイレクトメールに使われていたことを同社の顧客が通報したことによる。仮に、これがなければ今回の情報漏えいは、そのまま見逃されていただろう。この一番重要な点において、(ベネッセのような大手企業なら、まず間違いなく使っていたはずの)ログ管理ソフト(監視ソフト)は何の力も発揮しなかったのだ。
- 実用化に近づくスパイキング・ニューラルネット: 脳波まで再現する究極のAI(人工知能) (2014.09.18)
- アップルがモバイル決済に参入---その勝算と背景は? (2014.09.11)
- エボラ拡大の兆候を発見するも、手を打てなかったHealthMapの機械学習システム (2014.09.04)
- 自動運転車は移行期が危険---人から機械への「制御権の移譲」をどう行うべきか (2014.08.28)
- 米国の仕事斡旋サイトが生み出す"新ワーキング・プア" (2014.08.21)
-
-
北京のランダム・ウォーカー習近平外交の中核「一帯一路構想」と、飛躍的発展の可能性を秘めた中印関係のゆくえ (2014.09.22)
-
立ち読み電子図書館世界の伸びている中小・ベンチャー企業に学ぶ、これからの時代を生き抜く8つのヒント (2014.09.22)
-
-
オックスブリッジの流儀日本生まれの私が、英国オックスフォード大学に学部入学した理由 (2014.09.22)