2021年4月11日に「名古屋市が感染者情報 NHKにFAX誤送信」(NHK NEWS WEB)
というニュースがありました。
ニュースの概要は以下の通りです。
- 4月11日午前、新型コロナウイルス感染者の名前や住所などが記入された書面を送り先を間違ってFAXで送信した
- 本来名古屋市では、FAXは職員2人で確認して送ることをルールとしていたが、この時は1人で行った
- 名古屋市はルールを改めて徹底して再発防止に努めるとしている
つまり、本来ダブルチェックすべきところをしなかったルール違反により発生したインシデントということになります。そして、名古屋市は同じことを起こさないようにルールの周知徹底に努めるとしています。
「ルール違反があればルールの周知徹底を行う」
この考え方は基本的には正しいものですが、少し視点を変えると違った考え方をすることもできます。
それは、「ルールを守ってしまうと業務効率が著しく低下してしまう」可能性があるということです。
ルールの周知徹底が適切とは限らない
ルールを守ってしまうと業務効率が著しく低下してしまう場合、ルールの周知徹底という選択は本当に正しいのでしょうか。
「セキュリティ的に言えばインシデントを防ぐためにはルールで縛るべきでしょ!」と思われる方もいるかもしれません。
ただ、本来セキュリティ対策は一つの答えがあるものではなく、また、業務を阻害するようなセキュリティ対策が正しいものであるとは言えません。
業務効率とセキュリティ対策の両輪がバランスが取れてこそ本当にいいセキュリティの仕組みと言えます。
そのため、もし、業務上でセキュリティルールの違反が多く発生しているようであれば、業務上本当に適切なルールなのか見直してみることもおすすめです。
例えば、今回のケースだと以下のような代替策が考えられるかもしれません。
- 送付方法をFAXではなく、クラウドストレージ上での共有などに変更する
- ダブルチェックではなく、チェックリストでセルフチェックする方式にする
- 「個人情報」のFAX送付時にはダブルチェックをするなどの線引きをする など
まとめ
今回は、「一般的な視点から少し視点をずらしてみると」という形での考察をご紹介しました。
今回の名古屋市の事例が、「ルールを守ることによって業務効率が著しく低下したために発生した」のか「単純にその職員がルール違反を起こしただけ」なのかはわかりませんし、もちろん断言することもできません。
ただ、「セキュリティ対策・ルールといえばこう!」と決めつけてしまうのではなく、少し視点をずらして考えることも時には大切ですので、組織のセキュリティルールを考える際にはぜひ参考にしていただければと思います。
![無料相談ダイヤル:[tel_free_consul]](https://www.lrm.jp/iso27001/blog/wp-content/themes/iso27001_ver4/images/f_tel.png)