情報漏えいとヒューマンエラー

2018.3.30

個人情報の漏えい事故は相変わらず多数発生している。NPO日本ネットワークセキュリティ協会の「2016年情報セキュリティインシデントに関する調査報告書」によると、日本国内の個人情報漏えい事故は公表・報道ベースで2016年において468件であった。このうち、管理ミスや誤操作、紛失・置き忘れ、設定ミスなどのヒューマンエラーによるものは68％を占めており、サイバー攻撃よりもむしろ多い。

ヒューマンエラーとは、JIS Z 8115:2000では「意図しない結果を生じる人間の行為」と規定されている。発生確率をゼロにすることは難しいが、人間の情報処理メカニズムや行動特性などを理解することにより、ヒューマンエラーを減らし、たとえヒューマンエラーが起こっても情報漏えいを発生させないしくみを作ることが重要である。

ヒューマンエラーの原因例としては、「不慣れ、理解不足」、「慣れによる手順の省略」、「ルールの無視」、「伝達（コミュニケーション）のミス」、「整理整頓不足」、「見間違いなどの錯覚」、「疲労等による注意力低下」、「単調作業による意識低下」、「作業中断による忘却」、「憶測・勘に頼った作業」などが挙げられる。

これらに対して、4M（マン、マシン、メディア、マネジメント）の視点で対策を検討することができる。

マンは人の行為におけるヒューマンエラーそのものの対策である。
具体的には、人間特性を理解し、起こしやすいミスを漏れなくピックアップした上で、個別具体的対策の徹底が重要である。なお、個人のヒューマンエラー防止への意識向上だけでは限界があるため、以下のマシン、メディア、マネジメントの視点からの対策を講ずることも重要である。

マシンは機械・設備面での対策である。
具体的には、起こしやすいミスを物理的に防いだり検出できるしくみを作ることが挙げられる。例えば、メール送信ボタンを押してから3分後に送信されるように設定することで、この3分間で改めてメールを見返すことによりヒューマンエラーに気づいて情報漏えいを防止することが挙げられる。

メディアは作業・環境面での対策である。
具体的には、情報取扱いに関する一連の流れを精査した上で、関連する作業マニュアルや各種表示において誤認（数字などの見間違いなど）や意図と異なる解釈（手順の省略など）を防止するなどが挙げられる。ヒヤリハットや事故事例を参考に、継続的な改善を行うことが効果的である。ンエラーに気づいて情報漏えいを防止することが挙げられる。

マネジメントは管理面での対策である。
具体的には、既に多くの企業で取り組まれているが、管理規程の継続的な見直し、社内教育、eラーニング、加えて事故発生時の訓練を実直に繰り返すことが王道と言える。なお、マンネリ化を防止するために毎年重点取組みテーマを掲げて取り組むことも効果的である。

最後に、コンサルの現場においては、前述の4Mの視点において何らか弱点や検討不足が見受けられる。改めて第三者の立場で自社の取組みについて検証いただくことを推奨する。

以上