前回は企業のセキュリティ担当者の話をしたが、以前は、「社員の協力がなければセキュリティの効果は上がらない。従って、情報モラルの見地からアプローチする社員教育こそが何よりも大切」と訴えても、「何を悠長なことを」と反論されたものだった。（コンピュータソフトウェア著作権協会（ACCS）　専務理事　久保田裕）

　一方、高価なコンピュータの方が不正アクセスに対する安全性が高いなどの間違った情報が流布し、セキュリティ製品を売り込むなかで、企業の不安をかき立てる業者も散見された。

　その頃、彼らが根拠にしていたのは、「情報漏洩の8割は社内犯行」というデータである。この数字をもとにセキュリティの担当者は、「社員に対する監視を強化しなければ情報漏洩はなくならない」と考えていたのである。

　しかし、今はもうこう考える人は少ない。セキュリティ関係者の大半が、「セキュリティの仕事は監視ではなく、教育」と言い始めた。なぜ、そうなったか。「8割」の中身の分析が進んだことで、その大半が「操作ミス」や「勘違い」によるものであること、つまり確信犯としての「犯行」というほどのものでないことが明らかになったからだ。

　先日、セキュリティコンサルタント会社の人と話す機会があったが、企業が策定しているセキュリティポリシーも、やはり「禁止から教育」、「監視から教育」という流れにあり、あれはダメ、これもダメと禁止事項だけを並べたものは減っているそうだ。

　会社としては、禁止事項やルールで社員と契約や覚書を交わしておけば安心かもしれないが、社員の意識が追いつかなければ意味がない。また、セキュリテイを施したために、使い勝手が悪くなり、むしろ逆効果になった例も報告されている。

　ある企業は、社内の重要情報が不用意に見られないように、特殊なカードキーをパソコンのカードリーダーに読みこませないと、パソコンの操作ができないようなシステムを導入したところ、１か月後にはカードが差し込みっぱなしになり、注意しても面倒くさいとの理由で、その後この高価なシステムは取り外された。

　禁止事項が多すぎる、システムが複雑ということで、社員が面倒くさくなって使わなくなるようでは、何のための情報化だかわからない。会社がしなければならないのは、社員を監視することではない。社員1人ひとりにセキュリティの重要性、必要性を教えることである。

　ともあれ、情報セキュリティが今、「禁止から教育へ」、「監視から教育へ」という流れの中にあるのは確かである。ACCSではこれを受けて、6月18日に「セキュリティポリシーの運用管理と情報モラル育成のコツ」と題したセミナーを開催する。

　次回は、実際にセキュリティシステムを開発しているソフト会社の中には、単にシステムを提供するだけでなく、「社員教育」のサポートまで行っているところもあり、その取り組みを紹介する。