セキュリティ事故、と聞くと、皆さんは何を想像しますか？
ランサムウェア攻撃、アカウントの乗っ取り…等、いわゆる「悪意のある攻撃者」が情報を詐取しようと攻撃を仕掛けてくることを想像するでしょうか。
たしかに外部からの攻撃は、IT業界では常に課題としてあります。
ですが、依然として見逃せない数の「内部事故」「内部不正」を起因とした情報漏洩も、継続して起きています。

独立行政法人情報処理推進機構
「企業における営業秘密管理に関する実態調査2024」調査実施報告書より抜粋

今回は「内部事故」の方に焦点を当てて、「事故が起きない/起こさせない」組織づくりについて、お話しします。

事故はなぜおこるのか

突然ですが、事故はなぜ起きるのでしょうか？
スタッフの能力に差はあれど、「事故を起こしたくてしょうがない」人なんて、あまりいないと思います。
それでも事故が起きてしまうのは、事故が起こるべくして起こる環境や状態が放置されているからです。
「誰が従事していても事故が起きない状態」を管理者は作らなくてはいけません。

事故を「起きにくく」するために

①迷わなくて済む環境を作る

まず必要なのは「考えなくても正しい行動が取れる」状態を作ることです。
業務の質が、スタッフの能力や注意力に依存しないような環境を作らなければなりません。

• ルールは明文化し、あいまいさをなくす
• 「やっていい／だめ」をわかりやすくする
• 判断を現場や個人に丸投げしない
• 判断が分かれそうな場面ほど、組織として答えを決める
• 設定したルールが、実際にまっとうされているのか、定期的に確認する
• まっとうされていないルールは、強制しないで、「改善する」

②間違える前提で仕組みを作る

どれだけ真面目な人でも、間違えるときは間違えます。
人は疲れ、急ぎ、慣れてしまう、生身の存在です。
そのため、「間違えないようにする」ではなく「事故になる前に回収できるようにする」「間違えても大事故にならない」仕組みを作ります。

• 一つのミスで取り返しがつかなくならない流れにする
• 作業を一人に任せきりにしない
• ダブルチェックを「お願い」にしない
• チェックが自然に入る流れに組み込む

③事故が発生したときのリカバリー方法について、共有すること＝ＰＤＣＡサイクルを正しく回す

タイトルには、「起こさない」と書きましたが、実際の問題として「事故0」というのは、なかなか現実的ではありません。
また、「事故0」という字面に固執してしまうと、仮に事故が発生したときに、隠ぺいにつながり、被害が大きくなりかねません。
そこで重要になるのが、事故が起きたときの動き方を、あらかじめ決めておくことです。

• 事故が起きたら、誰に連絡するのか
• どの作業を止めるのか
• 何を確認するのか

これが共有されているだけで、被害の広がりは大きく変わります。
また、事故後の対応も重要です。

• 「気を付けよう」で終わらせない
• 同じ状況で、誰がやっても起きない形に変える
• 人ではなく、業務や仕組みを見直す

④注意

事故のあと、次のような対策が取られることがあります。

• 注意喚起を増やす
• 責任を明確にする
• 本人に反省文を書かせる

これらはもちろん、全く無意味というわけではありません。
ですが、事故そのものを直接的に減らす効果は高いとは言えません。上記でご紹介した対策の補助程度である、ととらえるのが安全でしょう。

また、事故の当事者に対して何らかの責任を取らせる必要がある場合がありますが、これについても過剰に行ってしまうと、事故報告が行われず、隠ぺいにつながる可能性があります。
これについては、そのものずばり「これが正解」という程度を示すのは難しいので、「組織の状況に併せて」行っていくしかありません。

さいごに

「事故は、個人の問題ではなく、環境や仕組みの問題」として発生します。
人を責めても、構造が変わらなければ、形を変えて、また同じ事故が起きます。
事故を「起きにくくする組織」とは、優秀な人を集める組織ではなく、誰がやっても事故が起きにくい状態を作れている組織です。