情報に「優先順位」をつけていく
これは、いわゆる「情報のトリアージ」と呼ばれる施策です。
「自分達がどのような情報を持っていて、それが漏えいしたらどんなことが起きるのか?」
「どんな損害を、誰が被ることになるのか?」
そんなことを想定しながら、情報を分類するのです。
(※「トリアージ」とは、そもそもは災害・事故現場などで、一時に大勢の負傷者が発生したときに、その重症度によって治療の順番を決めることを指す言葉)
たとえば、防衛関係の最重要機密なら、最高ランクのセキュリティが必要であり、もし漏えいした際には、会社を潰してでも責任をとる (実際に責任をとれるかどうかはわかりませんが ) という考えのもと、セキュリティポリシーを作ることが必要でしょう。
逆に、何人かの社員の氏名のみがどこかに公開されたなど、「申し訳ありません」と頭を下げるだけで済む情報なら、守り方も、IDやパスワード程度で良いかもしれません。謝罪も、メールで行なうという程度の対応になるでしょう。
では、実際のところ、自分の持つ情報を、どのように分類すれば良いのでしょうか。
どのように、情報を選り分ける「判断基準」を設ければ良いのでしょうか。
これを判断するためには、2つのアプローチが必要です。
このお話はそこそこ長くなりますので、今回は、その1つめである「常識的なトリアージ」についてお話しし、次回、もう1つの「現実的なトリアージ」についてお話したいと思います。
さて、前者の「常識的なトリアージ」とは、主として「情報を漏らされた被害者の視点」に着目したトリアージです。
「この情報が漏れたら、誰が、どれだけ迷惑するのか?」
「それを踏まえると、どんな備えが必要で、漏えいした時にはまず何をすべきか?」
そうしたことを考えて定義する分類です。
「この程度のことは考えておかないと外部から常識を疑われる」という意味で、ここでは「常識的なトリアージ」と呼びます。
次ページに、多少アレンジしていますが、ある会社の情報トリアージの例を紹介します。
