経営・ITコンサルティング部 小浦 旭博
近年、内部不正(情報漏えい、品質不正、不正会計等)やサイバーセキュリティに係る事案(以下、「インシデント」という)が連日のように報道されている。そうした事案は、組織運営に対して多大な影響を及ぼし、組織の存続を危うくする場合もある。本稿では、インシデント対策のあるべき姿について検討したい。
インシデント対策
具体的な対策は、以下の4つのカテゴリーに分けられる。
カテゴリー | 対策例 |
---|---|
1. 人的対策 |
|
2. 物理的対策 |
|
3. 技術的対策 |
|
4. 管理的対策 |
|
「1. 人的対策」「2. 物理的対策」「3. 技術的対策」は、インシデント発生の原因を直接取り除くための対策といえる。ただし、それらの実施には、業務の見直しを含め大きなコストがかかることが多い。他方で、「4. 管理的対策」は、比較的コストをかけずに実施することができるものが多い。しかし、4は、インシデントが発生するリスクを大きく低減させるわけではない。したがって、根本的な対策として1~3が完了するまでの間、暫定的な対応として4を実施することが望ましい。
たとえば、社内で顧客情報の漏えい事案が発生したことを契機に、顧客情報に対するアクセスログを取得し、定期的に不自然なアクセスの有無を確認するモニタリング(4. 管理的対策)を新たに開始したとしよう。顧客情報の漏えいの原因が、全役職員がアクセスすることができる領域に顧客情報を格納していたことにある場合、根本的な対策はアクセス制限の実施(3. 技術的対策)である。この場合、アクセス制限の実施が完了すれば、情報漏えいのリスクは低減される。そのため、モニタリングは廃止を含め見直しの対象とすることができる。
実務上のポイント
それでは、「4. 管理的対策」は具体的にどのように行えばよいのであろうか。管理を実施するための根拠として、4を暫定的な対策として位置づけると、新たに社内規程・手続を制定するのではなく、既存の社内規程・手続に則って簡易に行うことが望ましい。また、インシデント対策の実施状況や管理状況の報告方法は、管理対象部門になるべく負担をかけないよう簡素にすべきだ。たとえば、教育・研修の実施は、その証跡をトレースすることができれば充分であり、管理番号(教育・研修実施のための稟議番号など)を指定の共用ファイルに記入することで実施報告とし、管理を行うという方法が考えられる。
根本的な対策(1. 人的対策、2. 物理的対策、3. 技術的対策)の完了後、4を廃止する場合には、管理を実施するにいたった背景・経緯、実施した内容・結果(社内通達・報告書等)を振り返り、教訓として資料に残すことが重要である。過去の実施内容を記録に残しておくことで、監査・当局への対応の際や、新たに4を検討する際に、それらを参考資料として活用することができるからだ。
顧客目線でのリスクマネジメント
以上、リスクマネジメントに係る方法論について述べてきたが、組織の有するリソースには限りがあるため、全てのリスクに対して充分な対応を取ることができるとは限らない。何らかの方針を立て優先順位をつける必要があるが、どのように考えればよいであろうか。
一般的に、「主力事業の抱えるリスクに対して重点的に対応する」「費用対効果が悪い場合にはあえて対策を取らない」といった判断がなされるケースは多い。それらに加え、筆者は顧客目線で対策実施の可否を判断することが重要と考えている。管理コストは最終的には顧客が商品やサービスに対して支払う対価に上乗せされる。そのため、個々のリスクに対して、どの対策をどの程度実施するかを決めるのは、本質的には顧客であるべきだ。顧客が当然対応すべきと考えているリスクは何か、顧客が望まない過剰な対策が取られていないかなど、顧客目線で考えることが本来のあるべき姿ではないであろうか。