従業員のリスク判断力高める「リスク脳トレーニング」が有効

　個人情報や機密情報を外部に漏洩せずにきちんと取り扱えるか――。「情報セキュリティマネジメント力」は、今や企業価値を測る上での重要な尺度となった。その指標として、現在多くの企業で「プライバシーマーク」や「ISO27001」の導入の動きが広まっている。しかし一方で、既に情報セキュリティ体制を構築しているにもかかわらず、重要情報が漏洩してしまうという問題も起きている。そのような事態に直面した場合、企業はどんな対策を取れば良いのか？　国内における情報セキュリティマネジメントの草分けである株式会社JMCリスクマネジメント（東京・新宿）の宮﨑亮代表取締役社長に、情報セキュリティの在り方や同社の事業内容などを聞く。

認証取得は手段であってゴールではない

宮﨑亮氏　株式会社JMCリスクマネジメント代表取締役社長。「弊社のクライアント企業様も、情報セキュリティ対策の取り組みが成熟してきています。そうした変化に応じたサービスを開発、提供するのが弊社の使命です」

　JMCリスクマネジメント社は大手企業から中小事業者にいたるまで、個人情報や機密情報など重要度の高い情報を取り扱う企業の情報セキュリティコンサルティングを担っている。コンサルティング支援実績は、600社を超え、その約半数は情報セキュリティマネジメントシステムの支援である。宮﨑氏は語る。

　「認証取得して数年が経ち、物理的な入退出管理やネットワーク対策などの仕組みを作った企業にとっては『ヒューマンファクター』、つまり人的リスクにどう対処するかが次の課題。というのは、仕組みを作っても情報の紛失、誤送信、盗難などの事故がなかなか減らないからで、物理的なシステムでは対処できないヒューマンファクターこそが問題だからです」

　財団法人日本情報処理開発協会が昨年六月にまとめた報告によれば、平成18年度のプライバシーマーク認定事業者での個人情報の取扱いにおける事故件数は実に439社、708件にも上り、前年よりも2.6倍も増えている。

　また事故の原因について見てみると、同マーク認定申請中の企業も含めた1276件の報告のうち、実に97.1％を個人情報の紛失・漏洩が占め、更にその内訳を見ると書簡やFAXなどの誤配が半分以上に達している。

　担当者の些細なミス（思い込みや勘違いなど）が、情報漏洩につながっている実態が浮き彫りとなった形だ。そうした人的リスクをどう可視化し、コントロールするのかが今、現場では問われているのだ。

　「当社では、ISMS認証を組織が情報セキュリティ対策に取り組むための手段として位置付けています。プライバシーマークやISO27001などの認証を取得すること自体が目標やゴールなのではありません」と宮﨑氏が指摘するように、情報セキュリティの維持にはたゆまぬ再検証と修正の継続が求められているのである。

ヒューマンファクター重視した「リスク脳トレーニング」

　その様な情報セキュリティ管理における人的リスクを明らかにするためのメソッドとして同社が提供する研修メニューが「リスク脳トレーニング」だ。リスク脳とは聞きなれない言葉だが、「行動に伴うリスクを場面場面で判断できる能力」を指すという。

　「この研修では、イエスかノーかの正解がない物事、すなわち『グレーマター』と呼ばれる事例について従業員で対処方法のメリットとデメリットについて話し合います。例えば、A社で情報漏洩があったと仮定しましょう。漏洩してしまった本人が隠蔽せずにきちんと報告した場合、その従業員を処罰するべきか否か。『よく報告してくれた』と言って処罰しなければ今後も隠蔽は起こりにくい。しかし一方で処罰しなければ他の従業員に示しが付かない。この場合、どちらが絶対的に正しいとは言えず、その時々のリスクを考慮しながら判断しないといけません。グループディスカッションによって新たな気付きが起こり、現場のリスク判断能力が高まります」（宮﨑氏）

　集合研修では一般的な講義だけでは内容が一方通行となってしまいがちで、参加者の興味を惹きつける事が難しい。「リスク脳トレーニング」では事故事例や社内事例をもとに小グループのディスカッションを行うため、参加者全てに発言の機会があり、活発な意見交換が促される。研修内容の現場への速やかなフィードバックが可能だ。

　ところで情報漏洩などの事故が起こった場合、問題を共有できるフラットな職場環境でなら隠蔽は起きにくいと思われるが、実際は必ずしもその様に事は運ばないのではないだろうか。

　「オーナー企業やカリスマ社長がいる会社に、企業不祥事が多いという傾向は確かにあります。その場合、社長の発言が判断基準となっているために―属人的思考風土といいます―、リスクを踏まえた判断が下しにくい。この場合でも、管理職のリスク判断能力が高ければ問題回避も不可能ではありません」（宮﨑氏）

　従業員のリスク認知力が、情報事故や企業不祥事の低減に大きな鍵をなす、ということだ。ヒューマンファクターにクローズアップした「リスク脳トレーニング」は、恒常的な情報セキュリティ管理に貢献する。

企業ごとに啓発ビデオをカスタマイズ

　また同社の取り組みとしてユニークなのが、啓発グッズの作成だ。ポスターや卓上カレンダー、マウスパッドにシールという様に、従業員の動線にあわせてセキュリティ標語やキャッチコピー、簡潔な対処方法などを配置することでセキュリティ意識を刷り込み、うっかりミスなどを低減する効果がある。ほかにもガイドブックや小冊子も作成している。図版を多用してマニュアルにありがちな読みづらさを排除したものだ。

　更にそうした取り組みで際立っているのがDVDやビデオの制作だろう。企業ごとに内容をカスタマイズするべく、クライアントの従業員が出演してショートドラマ風に撮影するという。映像にリアリティとインパクトが増し、訴求力の高い教育ツールとなっている。

ISO27001で大きなシェア パイオニアの強み

　このほかにも、各種セミナーやeラーニングなどの充実した教育プログラムを有するJMCリスクマネジメント社だが、同社のコア・コンピタンスとは何だろうか。

　「当社のサービス分野は企業における純粋リスクの管理です。そこには様々なリスクがありますが、情報セキュリティのリスク管理には二つの強みがあると考えています。一つは30年以上の歴史と実績で、ISO27001の取得支援では国内有数のシェアと自負しております。もう一つは人的リスク、すなわち錯覚や心理的性向といったヒューマンファクターを踏まえた対策が出来ること。これは当社にしか出来ない分野です」

　そして冒頭でも触れたように、企業の情報セキュリティ対策の枠組みを導入したその次に課題となるのは、いかにシステムの形骸化・陳腐化を防ぎ、確実に企業価値向上に結びつけるかだ。同社は現在COBIT4.0というフレームワークを元にマネジメントシステムの成熟度モデルを開発しており、企業が自社の実情の把握と目指すべき目標を判断できることを目指している。
　この様に、米インテル社の代理店として出発した同社がコンピュータ事業の歴史を通じて培った専門知識とノウハウが、情報マネジメント対策にも生きている。セキュリティの診断や監査、認証支援や各種コンサルティングなどの多彩なサービスと、人的要素と働く現場に注目した教育プログラムの相乗が、質の高い情報セキュリティ対策をクライアント企業に提供してくれるだろう。

MCリスクマネジメントの公式ホームページ。セミナー情報のほか事例紹介や情報セキュリティ用語集、コラムなど豊富なコンテンツが自慢だ（http://rm.jmc.ne.jp/）

株式会社JMCリスクマネジメント
http://rm.jmc.ne.jp/
東京都新宿区新宿6丁目24番16号
新宿6丁目ビル
03-5285-9821（代表）

■プライバシーマーク関連セミナー
5/12（月）、6/12（木）：プライバシーマーク基礎コース ～初めてご担当になられた方向け 基礎知識の理解
5/20（火）～5/21（水）［2日間］：プライバシーマーク構築コース ～自力取得に向けた構築手法の理解
5/16（金）、6/20（金）：プライバシーマーク移行ダッシュ
6/13（金）：プライバシーマーク内部監査員育成コース

■情報セキュリティ教育関連セミナー
5/2（金）：管理者向け研修（リスク脳トレーニング）
5/29（木）：内部監査員レベルアップ研修（リスク脳トレーニング）
7/4（金）：管理者向け研修（リスク脳トレーニング）
7/9（水）：内部監査員レベルアップ研修（リスク脳トレーニング）

■ ISMS/ISO27001関連セミナー
5/8（木）、6/5（木）：ISO27001基礎コース ～初めてご担当になられた方向け 基礎知識の理解
5/13（火）、6/19（木）：ISO27001内部監査員育成コース ～監査の基礎知識とチェックポイント
6/26（木）、6/27（金）：ISO27001 実践コース1（リスクアセスメント編）
7/17（木）、7/18（金）：ISO27001 実践コース2（リスク対策編）

■その他セミナー（ISO20000/マネジメントシステム/内部統制関連など）
5/14（水）：セミナーガイダンス［無料］
5/15（木）：マネジメントシステム入門
5/30（金）：ISO20000スタートアップガイド

セミナーのお申し込みと詳細
日程は、変更になることがございますので、WEBページで最新情報をご確認ください。
http://rm.jmc.ne.jp/seminar_index.html