すべての原因はどこにあるか

(1) コンピュータではなく人が原因である情報漏えいにせよ、炎上にせよ、基本的には人が原因である。高度な技術を誇る侵入者が、ネットワークに不正にアクセスし、暗号を解読し、それで情報を入手する、というようなフィクションのような話は、皆無とは言わないが珍しい。少なくとも、筆者が相談に乗ってきた案件の95%は、人為的なミスで情報漏えいが発生した、金庫の鍵を開けられたのではなく、閉め忘れて発生したという案件である。炎上については、不用意な発信が原因であるのだから、なおのこと人が原因であるということになる。技術的に不正にネットワークに侵入されるというのであれば、いかに自社が気をつけていても限度がある。より強固なセキュリティシステムを構築する、それにコストを投下して導入をしていく、という対策が必要になる（もちろん、それも重要であるが、純粋に技術の話になるので本書の対象を外れる）。したがって、繰り返しになるが、鍵をこじ開けられるのではなく、実際は、鍵の閉め忘れが原因の大部分であるのだから、人次第で対策が可能なのである。さて、人次第の問題となると、その「人」について対策をすることになる。具体的には、第2章で述べたようなリスクの認識とルールの策定となるが、さらにそのルールを周知するだけではなく、研修を実施することが望ましい。研修で何を目指すべきか、どう教えるべきかについて、筆者の経験も踏まえて、本章で詳しく解説する。(2) 「意識」が重要な理由通常、研修の目的は「必要な知識を身につける」というものである。研修の場において、講師が必要な知識について解説し、受講者がそれを聞いて覚えて理解する、これは普通の流れである。本章で解説する研修も、この点は何ら変わるところではない。しかしながら、情報漏えいにせよ、炎上にせよ、それを発生させてしまった者は、別に必要な知識を欠いただけではないケースも多い。たとえば、第2章6においては、意外な漏えいルートについて解説してきたが、それらが漏えいルートになるということを知っていれば防げるし、知らなかったからこそ漏えいにつながっているものである。一方で、PDFの墨塗りにおいて、「黒い四角」を設置しただけでは、下にデータが残ること、ZIPファイルの場合は、ファイル名には通常は言及がないので、ファイル名は丸わかりということ、暗いと解読することもさほど難しくないということは、これは、知識の問題である。これらの知識を欠いてしまっていて、情報漏えいとしてしまうことはあり得る。これらの漏えいの原因は知識不足であり、研修等でその知識を得ていれば、そのような情報漏えいは発生しなかったといえる。しかし、単にメールによる情報漏えいは、知識の問題ではない。誰だって、メールは送った先に届く、間違えることもある、間違ったメールアドレスを指定するとその間違った先にメールが届く、そうなると、そのメールの記載内容の情報が漏えいするということは知っている。したがって、メールで情報漏えいをするということは知識の問題ではない。これは、必要な注意を怠るという意識の問題である。情報漏えいや炎上の相談を受ける筆者の経験上も、知識不足や誤解などで事件が起きるというケースは、比較的少ない。圧倒的に大部分を占めるのは、それはダメであるということは知っていたが、注意をする意識が不足しており、事故を起こしてしまうというケースである。研修においては、もちろん、最初に述べたような知識について身につけてもらうことも大事であるが、それ以上に、ルールを遵守する、ミスを減らす「意識」を身につけてもらうことが重要である。(3) 研修の副次的効果研修には、情報漏えいや炎上を防ぐという他に、副次的な効用がある。本章4(2)でも触れるが、裁判で有利になるということである。たとえば、情報漏えいをしていないが、情報漏えいをしているなどとデマが投稿された場合、その投稿者を特定するために発信者情報開示請求をする。そのためには、「情報漏えいはしていない」ことについて、一応の証明が必要である。もちろん、これは、存在しないことの証明、いわゆる悪魔の証明であり厳密な証明は不可能である。裁判実務上は、単に会社側がそんな事実はないと述べるだけでは不十分としているが、一定の証拠を提出して、「絶対にそのような不祥事は存在しなかったとまではいえないけれども、状況からすると、概ね存在しないといっていいだろう」くらいの認識を裁判所に抱いてもらえれば請求は認めてもらえる。したがって、情報漏えいや、炎上対策についての研修を実施しており、その記録（受講者によるレポートなど）を残していれば、裁判にとっての有力な証拠になる。もちろん、事件後に慌てて研修を実施しても意味はないが、「事故前から実施していました」と裁判所に主張することができることは、発信者情報開示請求事件において大事なことである。なお、これは、ネットトラブルに関する研修固有の問題ではない。セクハラ・パワハラが横行しているとのデマを投稿された場合、ハラスメント対策の研修をしている、相談窓口がある、そのような証明は、会社側の言い分、つまり発信者情報開示請求を認めてもらうために有力な材料となる。