不定期配信　マウスちゃんとメモリ主任のＩＴ１年生⑯

情報の重要性が増す昨今、弊社では情報セキュリティについて、その意義や情報を共有する取り組みを続けています。
担当チームが社内向けにまとめた資料などを基に、軽い読み物を不定期でお届けできればと思いますので、ご笑覧頂ければ幸いでございます。

　ある日の昼下がり、外出中のイーさんから電話がかかってきます。
『ごめん、マウスさん。Ａ社様へのお見積りを再送信してほしいって言われたんだけど、営業部の共有フォルダに入ってないかな？』
「探してみますね。・・・・・・入ってないみたいですね。」
『ああ、やっぱりデスクトップに保存しただけだったか。じゃあ、僕のパソコンから送ってくれないかな？』
「でも画面ロックがかかっていますよね？」
『あ、そうか。えっと、パスワードはね・・・』
「え？待って下さい？え？え？」

　ということがあったんですよ、と話すマウスちゃんに、メモリ主任が溜息を吐きます。
「指摘しどころが満載の話ですね・・・」
「そうなんですか？私が引っかかったのは、そんなに簡単にパスワードを教えちゃって良いのかな、というところなんですが・・・」
「確かにそれは目立つ問題点ですね。」
「パスワードを簡単に教えてもらえるほど信頼されているのかと思うと、嬉しくないわけではないところが微妙なんですが・・・」
「マウスさんを信頼することと、パスワードのような機密情報を教えることは全く別の話ですよ。・・・マウスさんは『不正のトライアングル』という言葉を聞いたことがありますか？」
「『不正のトライアングル』？」
「人間が不正行為を実行するには『機会』『動機』『正当化』という３つの要素が揃う必要がある、という理論です。

情報セキュリティにおいても、この３つの要素が揃わないように状況を整備することが犯罪予防につながるという見方があるんですよ。」
　とはいえ、とメモリ主任は話を続けます。
「『動機』や『正当化』は人の心に起因する要素ですから、コントロールは難しい。だからまずは『機会』をつくらないことが肝要だと思っているのですが。」
「簡単に不正が行えないような環境づくり、ということですね。」
「はい。ルールを整備して周知したり、リスクに関する情報を発信したり、情報漏洩が簡単には実施できないように環境設定したり、ですね。先ほどマウスさんは信頼、と口にされましたが、『機会』が容易に発生してしまうような環境を放置することは、信頼ではなく、相手に責任を押し付ける行為だと私は思っています。」

「イーさんが私にパスワードを教えてしまったのは、私を信頼する行為ではなく、私に責任を押し付ける行為になるのですね。」
「と、私は思っています。勿論、マウスさんが不正を行うと思っているのではありません。ですが、今後、もし、イーさんのパソコンが起点となった情報漏洩が起こった場合、私はイーさんだけでなくマウスさんも調査の対象としなければならなくなります。」
　パスワードを人に教えてはいけません、というルールは、自分と同時に相手を守るためにあるルールなのですよ、と言われ、マウスちゃん、自分の中のもやもやがはっきりしたように感じます。
「有難うございます。イーさんにパスワードを教えられたときに、なぜあんなに引いちゃったのか、分かったような気がします。イーさんに悪気がないのは分かっているのですが・・・」
「悪気がないのもまた問題ですね。悪気がない人は、また悪気なく、同じようなことをしてしまう可能性がありますから・・・」
　骨身にしみて頂くにはどんな方法が良いと思いますか、とにっこり問われ、「え？待って下さい？え？え？」とまた引いてしまうマウスちゃんなのでした。