その対策の対象が何であるか、どういう要因の事件/事故を減らしたいのかによって対策は変わるんだと思うんだけど、そうじゃないことって多いよね。というグチです。

• 情報漏えい事件/事故
  • 中の人要因
    • ヒューマンエラー
      • ついうっかりなタイプ　⇒　うっかりしにくい仕組みづくり
        • 「BCCじゃなくCCしちゃった」
      • あれ違った？タイプ　⇒　教育・啓蒙が第一
        • 「BCCとCCって違うの？」
    • 悪意　⇒　権限を制限
      • 「送っちゃえ」
  • 外の人要因　⇒　大事なものには鍵をかける
    • クラッカー
    • 盗難

幾つかの企業の情報漏えい対策では「中の人のヒューマンエラー対策」と「中の人の悪意対策」を混同したりして、とにかく権限を制限してしまってることが多いような気がする。
「中の人のついうっかり対策」として「本人のチェック強化」…例えば「メールを送信する前に目視でチェックしましょう」とかやっても*1対策としては薄かったり、BCCとCCの違いがわからない人のために「CCは禁止です」とかの対策*2をしてみたり。
その仕事に従事する人にある程度の権限が必要な場合、その権限内で悪用されるのはどうしようもなさそう。ロギングして、事後チェックできるようにするくらいしかないんじゃない？もちろん、事前にロギングの内容を通知しなきゃ意味がない。

原因によって対策は異なる、という簡単な分析が出来ていないんじゃないかと疑ってしまう。子会社状態の場合、親会社の「対策」を押し付けられたりして、とても迷惑だったり。