Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

尼崎脱線事故から学ぶこと(1)

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2005/5/13号)」に掲載されたものです。

痛ましい尼崎脱線事故が発生してからすでに数カ月が経過した。現在も原因究明が進められ、事故の真相が明らかになりつつある。世間の注目度も高いニュースだった。

なかでも、過失における厳しい懲罰の社内体制や、余裕のない運行実態など業務における環境の問題が話題になることが多い。

誰でも「ミス」は犯すもの

報道などによれば、JR西日本では、日常的に「日勤教育」というものが行われていたという。日勤教育では、運行上ミスを犯した乗務員に対し、他の職員の前でレポートの執筆を行わせるなど、「見せしめ」といった要素が強く、レポートの内容も反省文など、いわゆる技術の再教育などとは異なったものだという。

通常ではあり得ないような重過失や、故意であれば、厳しい懲罰の効果もあるかもしれない。しかし、誰でもミスしうる「軽微な過失」に対して精神論を唱えたところで、管理職の満足感だけでミスは減らないだろう。むしろ、精神的な圧力をかければ、社員は萎縮し、無用なプレッシャーを与えるだけとなってしまう。

極端な面まで業務の運行リスクを個人の資質に委ねていたのだとすれば、それはリスクが管理されていなかったのと同様だ。ある程度の軽微なミスについては、発生する可能性を考慮した上で、対応を取るべきだったのではないだろうか。

非合理とも言える高圧的な対応のツケは、社員の萎縮やプレッシャーだけに留まらない。ミスを犯した際の「隠蔽」など、さらに悪質化し、企業のリスクを増大させる。同社では、日勤教育の効果を主張しているが、状況から考えると、事故の「報告」が減っただけの可能性も高い。「軽微なミス」は、ある一定の確率で発生しうるため、合理的な対策がなければ、実際の事故が減ることは難しいからだ。

また、今回の事故は新型の制御装置の導入を行えば、事故の発生は簡単に防げたという話も出ている。新型の制御装置といっても、運用実績もあり、すでに多数導入されていて、JR東日本では運行が過密な地域においては、導入がかなり進んでいるという。導入コストも、それほど高価でないと聞く。

今回の損害額は100億を大きく上回ると言われている。もちろん、失われた人命は金銭で解決できない。これらリスク以上になにを優先したかったのか。制御装置導入に関して、これだけのリスクに見合うようなメリットが本当にあったのだろうか。

精神論ではなく合理的な解決を

個人情報の管理についても、同様のことを考えることができないだろうか。車上荒らし、置き忘れなど、軽微なミスにより漏洩するシーンは多数ある。実際にケアレスミスから発生した事故は多い。

それらは単に社員の「注意不足」ということで結論づける企業もある。たしかに、気のゆるみや注意不足の面があったかもしれない。教育の徹底や、注意喚起を行う意味がないとも言わない。しかし、それだけで再発を防ぐことができるのだろうか。この部分で合理的な対策を示すことこそ、企業の信頼回復にとって重要な部分ではないかと思う。

パソコンを外部へ持ち出すのであれば、営業車などへ放置したり、電車で網棚に置くと言った部分を禁止して携帯の徹底を促すだけではなく、内部データの暗号化やシンクライアントシステムの導入など、「軽微なミス」が発生することを予見し、紛失した際も二次被害を防止するような具体的な対策が大切だ。

合理的な対策に見えても、実務から逸脱すれば意味がない

根本的なルール変更といった対応は効果的だ。とはいえ、現場の実務を無視したルール変更は形骸化する恐れがある。

たとえば、外部へのPC持ち出しを個人情報取扱規程において禁止しておきながら、実際は自宅へ持ち帰らないと時間的に間に合わないような仕事を与えているようなケースだ。

ルール違反を知りながらも、「個人が勝手に行っている」として見て見ぬ振りをすれば、最終的に責任を負わなくてはならないのは企業だ。もちろん、知らなかったとしても、規定と与えている業務にギャップがあれば、責任が問われるだろう。

さらに、こういった状況では、「ルールは守らなくても良いもの」となり、モラルハザードが発生する恐れがある。また、業務への負担が増加し、社員の志気自体が低下する恐れもある。

個人情報保護の体制づくりはトップダウンによりスムーズに行う必要がある。その中で現場のヒアリングを行ったり、実務上の問題点がないか洗い出した上で、行っていくことが重要と言える。

現在の個人情報保護対策が、精神論に終始していないか。形骸化していないかチェックすることが重要だ。また、実務を遂行する上で無理があるような内容であれば、現場の意見を採り入れながら、解決方法を見つけだす必要があるだろう。

(Security NEXT - 2005/06/16 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、2017年最後の月例セキュリティ更新 - 脆弱性32件を修正
システム管理者アカウントが奪われ、個人情報約7万件が流出 - 阪大
「Adobe Flash Player」にセキュリティアップデート - 深刻な脆弱性は含まれず
Apple、「macOS High Sierra 10.13.2」などであわせて脆弱性22件を修正
企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず
不正アクセスで停止していた関連サイト、3カ月ぶりに再開 - 府中市
行政書士試験の一部答案用紙が所在不明に
ATM記録紙の紛失が判明、誤廃棄の可能性 - 高知銀
パーソナルデータを利活用する「情報銀行」の実証実験 - DNP
制御システムのセキュリティや脅威がテーマのカンファレンス - 2月に都内で