□解説:社員教育だけでは再発防止できない

顧客情報をはじめとした機密情報の漏洩は、多くの企業にとって重要なリスクであることから、ほとんどの企業では既に何がしかの対策は行っているはずです。しかしながら情報漏えいは全国で毎日のように発生しています。

以下はSecurity NEXT社のHP内の「個人情報漏洩事件・事故関連記事の一覧」(http://www.security-next.com/category/cat191/cat25)ですが、情報の種類や漏えい件数はさまざまながら、全国で2日と置かずに発生しているのが分かります。

事例企業のように機密情報を持ち歩き、顧客のもとでデータを開示しながら打ち合わせや会議を行うことが必須であるという業態も多いでしょう。その場合の対策として「社員教育の徹底」はもちろん対策の一つではあります。事例の場合「車の中にかばんをそのまま放置しない」ことや「重要情報が入ったUSBの社外持ち出しの禁止」などのルール化によって事故の発生を防ぐことには一定の効果を得られるとは思います。

しかしながら「社員教育の徹底」を対策の柱とするには、社員から以下のような声も上がってこないでしょうか?

「これまでも機密情報の取り扱いの教育はたくさん受けてきた。今回の例はBやCの意識の問題であって、自分たちはちゃんとやっている」
「USBメモリーの紛失はわざとではなく故意だ。うっかり紛失してしまうことを教育で防げるのか?」
「荷物を置きっぱなしにして昼食を取りに車を離れたBは確かに悪い。しかし、盗難に遭うのはBだけの責任なのか。例えば、電車の網棚にかばんを乗せてついうとうとしてしまい、それで盗まれた場合でも、うとうとした者の責任か?」

情報に関する社員教育に全く意味がないとは言いませんが、社員教育だけで再発防止になるでしょうか。BさんやCさんは今後最大限の注意を払って業務を行うかもしれません。しかし、他の人が同じような原因で紛失・盗難に遭うことは二度となくなるでしょうか?