情報漏洩対策として、サイバー攻撃以上に注意すべきなのが「ヒューマンエラー」です Photo:PIXTA
情報漏洩の大半は、近年増加している高度なサイバー攻撃や避けようのないウイルス感染ではなく、「ヒューマンエラー」に原因があると言われている。ヒューマンエラーに対しては、担当者個人の注意力のなさややる気のなさにばかり批判が集まりがちだ。しかし、情報セキュリティ大学院大学の内田勝也名誉教授は、「組織」の問題としてヒューマンエラーに取り組まなければ、なくすことはできないと釘を刺す。
ヒューマンエラーとは
個人ではなく「組織」の問題
情報漏洩の問題に限らず、企業や組織でヒューマンエラーが起こると、「緊張感が足りない」「やる気がない」「注意力が散漫だ」といった個人の意識に問題があるとの指摘がされがちだ。そのため、ヒューマンエラーをなくすには、(1)注意をしていれば、エラーは防げる、(2)複数人で確認・チェックすれば防げるなどと考えられている節がある。
しかし、最近発覚した米国大手銀行「シティバンク」で巨額の誤送金が起きた例では、シティバンクの幹部を含め、三重のチェックが行われたものの、誰もミスに気づけなかった。シティバンクは米国地方裁判所に返却裁判を起こしたが敗訴し、今後控訴するとみられているが、地裁の裁判官は「世界で最も優秀な金融機関の一つであるシティバンクが、これまでにない間違いを犯したと信じるのは、あまりにも不合理である」と指摘した [1]。
さて、ディペンダビリティ(信頼性)について書かれた日本工業規格JIS Z8115:2000では、ヒューマンエラーを「意図しない結果を生じる人間の行為」と定義している。
また、米国の認知科学者であるドナルド・A・ノーマンは、ヒューマンエラーを『計画』と『実行』に分け、さらに計画が誤っている場合と実行が誤っている場合を考え、以下のように定義している[2]。
(1) 計画:正しい、実行:失敗・・・・・・「スリップ」
(2) 計画:誤り、 実行:正しい・・・・・「ミステイク」
(3) 計画:正しい、実行:忘れた・未実行・「ラプス」
シティバンクの例に限らず、ヒューマンエラーが起こる原因を探ると、作業環境が影響することも分かってくる。つまり、ヒューマンエラーを防ぐには、ヒューマンエラーが起きにくい環境を整えることが大切だ。
