AC_000991.jpgテレビをみて、それがドラマや映画でないことにとても驚いた、JR福知山線の脱線事故。
今回はこの事故に関して最近ニュースになった情報漏洩について考えてみます。
報道されたのは、JR西日本社長(当時)が事故調査委員会から報告書の内容を入手し、さらにJR西日本に有利な内容への書き換えも働きかけていたということです。
この件で「情報セキュリティ対策」として不足していたものは何でしょう?


それは「教育」です。
情報漏洩のよくある原因としては、

  • 情報媒体の盗難、紛失
  • ウィルス等による流出
  • 盗聴
  • 故意による持ち出し

などが挙げられますが、この件は、「故意による持ち出し」によって起こりました。
当事者は50代から70代の「いい大人」。社会的地位も責任もある人たちです。
それでも、チョロQや模型などの見返りで重大な情報を「簡単に」渡してしまうのです。
この人たちにとって、チョロQや模型が高価なものではないのに。
結局のところ、「企業の体質」という一言に集約されてしまいそうですが、この「企業の体質」を変えるには、もちろん、経営陣の変更も大きいのですが、「社内での教育」が重要です。
「情報セキュリティ教育」は、入社時だけではなく継続的な実施が必要です。「仕事が忙しいから」とついおろそかになりがちですが、どんなに忙しくてもその教育の必要性を正しく認識させることも教育なのです。そして、「忙しいから」とおろそかにならないように、情報セキュリティ対策の責任は経営者が担うものなのです。
つまり、実際の情報セキュリティ対策の実務は担当部門が行っても、最終責任は経営者にあるのです。
今回は、社長自ら情報漏洩に加担しているので、弁護のしようもないと思います。
JR西日本は委員会を立ち上げて改善を行うとのことですが、外部から人を招いての教育を徹底していただきたいものです。