情報管理におけるヒューマン・エラー対策【情報セキュリティニュース 2010年 第4号】
2011.1.1
1. はじめに
あるお客様から、ヒューマン・エラーによる情報漏えい事故が止まらないので何か対策はないかという相談を受けたことがあった。事業者の情報漏えい対策においては、多くの場合は情報の盗難など不正対策に重点が置かれているものの、個人情報の誤送付など些細な人的ミスが引き起こすヒューマン・エラー対策が後手になっていることが多かった。このお客様は事務処理を中心とした事業者で、ほとんどの職員が業務の一環で個人情報に接している。ヒューマン・エラーによる事故が頻発しており、このお客様はその対策にも重点を置きたいとのことであった。結論からお伝えすればヒューマン・エラーは完全に無くすことはできない。一方で、何らかヒューマン・エラーを.しでも減らす対策があるのではないのか、今回はヒューマン・エラーによる情報漏えい防止策について考えたい。
2. ヒューマン・エラーについて
ヒューマン・エラーとは、JIS規格では「意図しない結果を生じる人間の行為」という定義である。ここでは情報管理上の行為におきかえて、重要情報の誤送付、誤送信、置き忘れ、紛失、設定ミスなどの情報漏えいを対象とする。
ヒューマン・エラーの一般的な研究については、交通関係、原子力関係、医療関係、製品製造関係などの業種で先行して進んでいる。特にこのような業種では、些細なヒューマン・エラーから重大な事故(特に人命に影響を与える事故)に発展するケースが多く、軽視ができないため、ヒューマン・エラー対策に関する取り組みが進んでいる。
一方、ヒューマン・エラーによる重要情報の漏えい事故は人命に直接的に影響を与えることはなく、深刻な事態まで発展するケースは稀である。漏えい後の再発防止策では、FAX送信前に二人で「二重チェック」をし、電車の網棚に個人情報の入った鞄を置かないといった「ルールの追加・再確認」、それらを徹底するための「社員教育」といったことをするのではないだろうか。確かに、そのような対策でも十分に効果はある。これも重大な事故に至っていないため、このような対策で十分と考えられていることが多い。
しかしながら問題は、ヒューマン・エラーによる単発の漏えい事故ではなく、その頻度である。ひとつひとつが軽微な漏えい事故であっても、同一事業者がそれを頻繁に繰り返せば、いつかは信用失墜や深刻な事故にも繋がるおそれがある。
今回は、ヒューマン・エラーによる情報漏えい防止策で考えられるうち、根本的なところに焦点を当ててみる。また、ここでは比較的どの業種にも適用できそうな話に限定する。
全文はPDFでご覧いただけます
