(2) 医療業界の場合――TeamSTEPPS

 医療も、航空業界と同じく、高い安全性が求められる業界だ。1999年に米国医学研究所(Institute of Medicine)の医療の質委員会は、最大で年間9万8000人の患者が医療事故で死亡しており、想定される最低の死者数年間4万8000人でも交通事故や乳がん、エイズによる死亡者を上回るとの報告書を公表した。

 この状況から、2006年11月、米国国防総省と米国医療研究・品質庁(AHRQ)は、「TeamSTEPPS」を公表した。基本的な考えは、航空業界のCRMと同じである。

クリック率低下が目的に?
標的型メール攻撃訓練のあるべき姿

 このように、人命にかかわる2つの業界においても、エラーが重大な事故をもたらし、これを防ぐことが事故防止につながるとお分かりになったかと思う。

 本連載のテーマであるサイバーセキュリティに話を戻すと、近年増加している「標的型メール攻撃」による情報漏洩は、まさにこの典型といっていい。

 それを防ぐための標的型メール攻撃訓練は、日本国内でも2008年頃から行われてきた※2が、2015年の日本年金機構の情報漏洩事件以降、一気に関心が高まり、今では多くの組織で実施されている。

 ただ、多くの企業等で行われている標的型メール攻撃訓練には、違和感を覚えざるを得ない。「最近は、巧妙に仕組まれたものが増えており、つい、クリックしてしまう。クリック率が下がらない」など、クリック対策に終始しているからだ。もちろんクリック率を下げることは重要だ。しかし、この訓練の目的は、クリック率の低下だっただろうか?

 前述の航空・医療業界の例からもお分かりの通り、教育・訓練目的は「事故防止」である。標的型メール攻撃訓練においても、誤ってメールをクリックしたら、それを迅速に報告し、対応すれば、大規模情報漏洩を防止できる、といった点を伝えるなどして、ヒューマンエラーを踏まえた上での組織的な対策を教えていかなければならない。

※2)2008年9月17日、NHK「ニュースウォッチ9」で、横浜市の訓練が放映された。