企業の無駄な情報漏えい対策
その対策の対象が何であるか、どういう要因の事件/事故を減らしたいのかによって対策は変わるんだと思うんだけど、そうじゃないことって多いよね。というグチです。
- 情報漏えい事件/事故
幾つかの企業の情報漏えい対策では「中の人のヒューマンエラー対策」と「中の人の悪意対策」を混同したりして、とにかく権限を制限してしまってることが多いような気がする。
「中の人のついうっかり対策」として「本人のチェック強化」…例えば「メールを送信する前に目視でチェックしましょう」とかやっても*1対策としては薄かったり、BCCとCCの違いがわからない人のために「CCは禁止です」とかの対策*2をしてみたり。
その仕事に従事する人にある程度の権限が必要な場合、その権限内で悪用されるのはどうしようもなさそう。ロギングして、事後チェックできるようにするくらいしかないんじゃない?もちろん、事前にロギングの内容を通知しなきゃ意味がない。
原因によって対策は異なる、という簡単な分析が出来ていないんじゃないかと疑ってしまう。子会社状態の場合、親会社の「対策」を押し付けられたりして、とても迷惑だったり。