組織における情報漏洩対策について

結局、バランスとして、「情報漏洩対策」としては、事故前と事故後の対応を計画し、訓練、実行するというPDCAサイクルを回せることが、要求されと考えるべきだ。つまり、「情報漏洩の発生防止のための活動」と「情報漏洩が発生後の事後処理」に対して、透明性が、求められるということである。さらに、日々の潜在リスクへの気が付きや、不測の事態の経験を通して、PDCAサイクルが活用されるべきものなのである。
以上の条件のもと、組織を構成する構成員全てが参加し、同じ判断と行動を行える計画を共有することで、組織としての対策が成されている状態と言えよう。肝心なのは、組織が、何らかの職制で分割されていたとしても、同じ判断と行動を行えることである。これは、事業所ごと、部署ごとに、温度差があったり、個別の解釈を許すことで、それがウィークポイントになる危険性を、多大に発生させるからである。

PDCAサイクルを採用するシステムは、ISO9000シリーズから派生しているもので、現在では、多く存在しているばかりか、ISO以外に、経営品質や、マーケットマインド、安全スピリッツなど、どれが先か不明だが、色々な分野で利用されている。結局、これらは、絶対的な対策が存在しないこと、もし、存在していたら、そもそも、社会問題にならないという特徴を持った問題であろう。また、もし能率的に対策を行う場合、組織の単位としては、同じマインドを共有できる単位であろうが、なかなか、一つの観点でのみくくられる構成員ではないので、優先順位で、割り切らねばならないものになると思われる。企業であれば、最優先の観点は、売り上げの維持・向上(ビジネス推進)から、ブレークダウンすることになるのだろう。つまり、情報漏洩のリスクが高いから、ビジネス(売り上げ)を止めるという解は、企業としては、自ら、存在することを止めるということであり、選択肢にはなと思われる。