2.不作為: 行うべきことを行わなかった
(3)行わなかったことを自覚している
2017年5月、国内大手電機グループはWannaCry(ワーム型ウイルス)のサイバー攻撃を受け、業務調整の必要等でパッチ未適用のサーバーが感染した。これを受けて、CIOが兼務していた情報セキュリティの責任を分離し、CISO(サイバーセキュリティ技術本部本部長)を置き、グループ全体のセキュリティを統括する専門組織を設置した。
(4)行わなかったことを自覚していない
2016年6月、大手旅行会社の子会社に取引先を装ったメールが送られ、添付ファイルを職員が開いたが、自社への内容でなかったため、取引先に返信メールを送ったが、取引先に該当メールアドレスが存在せず、「未達メール(注)」が戻ってきた。
添付ファイルを開いた時点で、マルウェアに感染したが、情報の窃取まで5日ほどあり、未達メールの受信時点で対応していれば、大量の情報漏洩は防げただろう。しかし、これまで同社で行われていた情報セキュリティに関する訓練は、怪しいメールに対する「クリック率を下げる」ことが目的だったと思われ、適切な対応が取られなかった。
ヒューマンエラーへの2つ誤解
複数人チェック、注意だけでは防げない
こうしてヒューマンエラーは、意識せずに起こるものがあるのだが、いまだに誤解は多い。冒頭でも、(1)注意をしていればエラーは防げる、(2)複数人で確認・チェックすれば防げるなどと言われがちだと話したが、果たしてこれは事実だろうか?
(1)「注意をしていれば、エラーは防げる」の誤解
ノーマン・マックワースは、「注意をしていれば、エラーが防げる」のは、「III 正常、明晰状態」でも、30分程度の作業時間内であり、それを越えると適度の休憩が必要になることを実験で確かめた。もちろん、作業環境(図1)も考慮する必要がある。
