Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

尼崎脱線事故から学ぶこと(1)

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2005/5/13号)」に掲載されたものです。

痛ましい尼崎脱線事故が発生してからすでに数カ月が経過した。現在も原因究明が進められ、事故の真相が明らかになりつつある。世間の注目度も高いニュースだった。

なかでも、過失における厳しい懲罰の社内体制や、余裕のない運行実態など業務における環境の問題が話題になることが多い。

誰でも「ミス」は犯すもの

報道などによれば、JR西日本では、日常的に「日勤教育」というものが行われていたという。日勤教育では、運行上ミスを犯した乗務員に対し、他の職員の前でレポートの執筆を行わせるなど、「見せしめ」といった要素が強く、レポートの内容も反省文など、いわゆる技術の再教育などとは異なったものだという。

通常ではあり得ないような重過失や、故意であれば、厳しい懲罰の効果もあるかもしれない。しかし、誰でもミスしうる「軽微な過失」に対して精神論を唱えたところで、管理職の満足感だけでミスは減らないだろう。むしろ、精神的な圧力をかければ、社員は萎縮し、無用なプレッシャーを与えるだけとなってしまう。

極端な面まで業務の運行リスクを個人の資質に委ねていたのだとすれば、それはリスクが管理されていなかったのと同様だ。ある程度の軽微なミスについては、発生する可能性を考慮した上で、対応を取るべきだったのではないだろうか。

非合理とも言える高圧的な対応のツケは、社員の萎縮やプレッシャーだけに留まらない。ミスを犯した際の「隠蔽」など、さらに悪質化し、企業のリスクを増大させる。同社では、日勤教育の効果を主張しているが、状況から考えると、事故の「報告」が減っただけの可能性も高い。「軽微なミス」は、ある一定の確率で発生しうるため、合理的な対策がなければ、実際の事故が減ることは難しいからだ。

また、今回の事故は新型の制御装置の導入を行えば、事故の発生は簡単に防げたという話も出ている。新型の制御装置といっても、運用実績もあり、すでに多数導入されていて、JR東日本では運行が過密な地域においては、導入がかなり進んでいるという。導入コストも、それほど高価でないと聞く。

今回の損害額は100億を大きく上回ると言われている。もちろん、失われた人命は金銭で解決できない。これらリスク以上になにを優先したかったのか。制御装置導入に関して、これだけのリスクに見合うようなメリットが本当にあったのだろうか。

精神論ではなく合理的な解決を

個人情報の管理についても、同様のことを考えることができないだろうか。車上荒らし、置き忘れなど、軽微なミスにより漏洩するシーンは多数ある。実際にケアレスミスから発生した事故は多い。

それらは単に社員の「注意不足」ということで結論づける企業もある。たしかに、気のゆるみや注意不足の面があったかもしれない。教育の徹底や、注意喚起を行う意味がないとも言わない。しかし、それだけで再発を防ぐことができるのだろうか。この部分で合理的な対策を示すことこそ、企業の信頼回復にとって重要な部分ではないかと思う。

パソコンを外部へ持ち出すのであれば、営業車などへ放置したり、電車で網棚に置くと言った部分を禁止して携帯の徹底を促すだけではなく、内部データの暗号化やシンクライアントシステムの導入など、「軽微なミス」が発生することを予見し、紛失した際も二次被害を防止するような具体的な対策が大切だ。

合理的な対策に見えても、実務から逸脱すれば意味がない

根本的なルール変更といった対応は効果的だ。とはいえ、現場の実務を無視したルール変更は形骸化する恐れがある。

たとえば、外部へのPC持ち出しを個人情報取扱規程において禁止しておきながら、実際は自宅へ持ち帰らないと時間的に間に合わないような仕事を与えているようなケースだ。

ルール違反を知りながらも、「個人が勝手に行っている」として見て見ぬ振りをすれば、最終的に責任を負わなくてはならないのは企業だ。もちろん、知らなかったとしても、規定と与えている業務にギャップがあれば、責任が問われるだろう。

さらに、こういった状況では、「ルールは守らなくても良いもの」となり、モラルハザードが発生する恐れがある。また、業務への負担が増加し、社員の志気自体が低下する恐れもある。

個人情報保護の体制づくりはトップダウンによりスムーズに行う必要がある。その中で現場のヒアリングを行ったり、実務上の問題点がないか洗い出した上で、行っていくことが重要と言える。

現在の個人情報保護対策が、精神論に終始していないか。形骸化していないかチェックすることが重要だ。また、実務を遂行する上で無理があるような内容であれば、現場の意見を採り入れながら、解決方法を見つけだす必要があるだろう。

(Security NEXT - 2005/06/16 ) このエントリーをはてなブックマークに追加

PR

関連記事

検索用目録と誤って個人情報含むファイルを誤公開 - 新潟県
印刷に利用した患者情報含む私物USBメモリが所在不明に - 愛知県
「GitLab」にセキュリティアップデート - 脆弱性4件を解消
メールサーバがフィッシングメールの踏み台に - 広済堂HD子会社
従業員が退職時に顧客情報を持出、転職先で使用 - プルデンシャル生命
「PAN-OS」のアップデートが公開 - 旧版にも順次提供予定
「XenServer」「Citrix Hypervisor」に脆弱性 - 情報流出やDoS攻撃のおそれ
先週注目された記事(2024年4月7日〜2024年4月13日)
「PAN-OS」に対するゼロデイ攻撃、国内被害は未確認
「PAN-OS」を狙う「Operation MidnightEclipse」 - 3月下旬より展開

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.