セキュリティの費用対効果の一例。

「ルールを守るかどうかは個人のモラルの問題ですから、『守りなさい』と言うだけでは、徹底させるのは難しい。そこでお薦めしたいのが、漏洩事故が起きた場合のシミュレーションです。現場が事態収拾にどれだけの労力とコストを要するのか、身をもって感じられればルールを守ろうと思えるはず」（大谷氏）。

　仮に1000人分の顧客情報が漏れたとして、まずはその一人ひとりに電話や訪問で謝罪しなければならない。漏れた情報の中身によっては賠償請求される可能性もあるだろう。その謝罪や賠償に要する時間とコストを概算するとともに、事態収拾に当たっている間にどのくらいの業務が滞るかをシミュレーションする。これで、現場レベルの大変さを“見える化”するわけだ。

　しかも、いったん事故を起こせば、本人だけの問題ではなく、上長や同僚も巻き込まれる。社内では事故を起こした本人に対しておそらく冷たい目が向けられるに違いない。会社が被る被害にはピンとこなくても、自分が情報漏洩後にどういう状況になるかを考えれば危機意識が高まる、というのが大谷氏の言うシミュレーションの効果だ。

事後対応の「シミュレーション」で、被害の大変さを“見える化” - 日経トレンディネット

この数字は本当に良いｗｗｗｗある意味ｗ

1人当たりの想定損害賠償額では「5000 円〜1万円」の割合が最も多いものの、1人当たりの平均想定損害賠償額は3万9017 円だった。なお、この平均想定損害賠償額は想定損害賠償額の合計を漏えい人数で割った値ではなく、1人当たりの想定損害賠償額を事件1件単位に算出し、その結果を合計した後に漏えい件数で割るという方法で算出※出典：「2007年情報セキュリティインシデントに関する調査報告書」（NPO日本ネットワークセキュリティ協会　セキュリティ被害調査ワーキンググループ）

事後対応の「シミュレーション」で、被害の大変さを“見える化” - 日経トレンディネット

社員ダメじゃんｗｗｗｗｗｗｗｗでもこの制度は良い。

ルール徹底を個人の意識に依存するのではなく、社員がルールを守れる仕組みを会社として整えたのが、システムインテグレーター大手の大塚商会である。

　そのユニークな制度の名は、「CP免許制度」。

社員証に貼り付けたシールで「等級」が分かる（画像クリックで拡大）

　クルマの運転に自動車免許が必要になるように、大塚商会では、社内ネットワークを使って仕事をするときにこのCP免許が必要。免許は「4級」から「1級」に分かれ、「4級」はアルバイトスタッフを含む全社員が取得する。「3級」は他者に指導ができること、「2級」は改善等の提案ができること、「1級」はコンサルティング等ができる資格で、社員の7割以上が「3級」以上だという。免許取得者はその証としてシールを社員証に貼り付ける。「4級」と「3級」がシルバー、「2級」と「1級」がゴールドで、パッと見て何級かが分かるようになっている。

社員は“等級付き”免許を取得、減点制度も 「運転免許」になぞらえた独自制度を運用する「大塚商会」 - 日経トレンディネット

ぶはっ！これ社員ポリシーを守らざる得ないｗｗｗ

また、運転免許のように“減点制度”も導入。免許取得者全員に6点のポイントが与えられ、情報セキュリティの社内ルールに違反すると減点されるというもの。例えば月1回の手動によるウィルスチェックやOSのアップデートを忘れると、それぞれ1点の減点。仕事で使う携帯電話を紛失しても、紙媒体をシュレッダーせずに廃棄しても減点される。

社員は“等級付き”免許を取得、減点制度も 「運転免許」になぞらえた独自制度を運用する「大塚商会」 - 日経トレンディネット

6点すべてがなくなると免許停止。そうなると会社でPCが使えず、事実上、仕事ができなくなるので免許を再取得することになる。1級保持者でも免停になったら、4級からやり直さなければならない。しかも減点は違反者本人だけでなく、上司も対象となる。6人の部下がウィルスチェックを忘れたら、その上司はいきなり点数がゼロになってしまう。

社員は“等級付き”免許を取得、減点制度も 「運転免許」になぞらえた独自制度を運用する「大塚商会」 - 日経トレンディネット

ぶはっ！そうか年末年始のシーズン置忘れや置き引きで情報漏えいシーズンなんだ！！！ｗ

特にこれからは何かと宴会の多い季節。酒を飲むとどうしても注意力が散漫になり、携帯電話の紛失やバッグの置き忘れが増えるほか、置き引きや窃盗などの被害にも遭いやすくなる。忘年会が本格化する前に対策を検討しておくほうが良さそうだ。

会社の情報、どう守る？新進企業に学ぶ「ユニーク情報漏洩対策」 [4ページ目] - 日経トレンディネット