現在のようにセキュリティが厳しくなった背景には、2006年6月に国会で成立した日本版SOX法「金融商品取引法」と、2003年5月に成立した「個人情報保護法」などがあります。ここでは詳しく述べませんが、「個人情報や業務データなどの漏洩が起きないようにしてね」という制約が生じているのです。
情報漏えいのリスクという点で見ればそれまでの仕事のやり方は問題だらけでしたから、情報の入出力や使い方などを細かくチェックするための新たな仕組みを導入することになりました。ただし、その過程でセキュリティ向上のためのステップを上手く踏めなかった企業も少なくありません。
情報漏えいを防ごうと思えば、業務のやり方を変更したり、効率性の低下に目をつむる必要があります。彼らの現状を把握しないまま施策を実施した結果、上司が承認した場合に限ってUSBメモリの使用を許可するといった例外運用が常態化し、内部統制の思想を根本的に無視したローカルルールがまかり通ってしまった企業は少なくないと思われます。
もちろんセキュリティ対策は重要ですが、むやみやたらと導入すれば良いというものでもありません。厳密なルールを上から強制したところで、それが現場の意識にあっていなければ冒頭のような抜け道が生まれてしまうからです。

段階的なアプローチでは、ルールの制定で対応するものと、システムの仕組みで対応するものに大別することがポイントです。まずは、半年程度ルールの周知を行い、ユーザーのセキュリティモラルを高めましょう。その後、ユーザーのセキュリティ意識に応じた技術的な施策を実施します。
先の三又シリンダーに当てはめてみましょう。ユーザー内での理解を促進すると、ユーザビリティを高めようとする圧力が下がるため、他の要素を高める際の抵抗が少なくなります。ユーザビリティを少し犠牲にしてもセキュリティを高めることが大切である、という風土を社内に醸成することが必要なのです。

「原則禁止」は事故のもと～あなたの職場のセキュリティ対策は大丈夫？ (3/3)：EnterpriseZine（エンタープライズジン）