労働衛生安全法で、製造業や建設業においてリスクアセスメント及びその結果に基づく措置の実施に取り組むことが努力義務とされているため、リスクを評価する一連の手順として、このリスクアセスメントという言葉を目にする機会も増えてきています。
しかし、実際これらがどのぐらい実施されているかというと、あまり重要視されているようには見えません。
製造業や建設業の場合、工事現場は工場で人命が脅かされるような仕事になっていてはなりません。例えば、とても高い所での作業であるにも関わらず、柵の類が一切ない、命綱もないという状況や、うっかり転んでしまうとその先には無数のカッターがあり、人も簡単に入り込めてしまう状態になっている等、そのような仕事がで起こり得ることをちょっと想像するだけでもゾッとします。
そのようなことが起こらないように、安全に業務を行う工夫は必須であり、万が一発生した場合に人命に関わる場合や発生頻度の高いものについては必ず発生しないように対応をする必要があるということは、どなたにもイメージがしやすいのではないでしょうか。
ですが、いざそれを事業等におきかえてみると、とたんによくわからないものになり、対応をすべきかどうかの判断がつきにくくなるのです。
当社はリモートメールというケータイやスマホで会社のメールを読むことができたり、イントラネットなどをセキュアに見るというサービスを提供している為、どの程度の情報を扱っている場合、どこをどう対応すべきかというご提案をさせていただく場面も多いので、今回はそれをテーマにしてみようと思います。
まず、リスクについてですが、基本的には「ハザードの大きさ」と「ハザードの発生確率」から検討をします。
また、事象が大きすぎても判断がつかないため、起こり得そうなことについてはなるべく小さな単位にして考えることがおすすめです。
例えば、スマホを落として情報が漏洩する可能性を考えた時、まず、スマホを落とすという発生確率から考えます。2011年と少し前の資料なのではありますが、JNSA 情報セキュリティインシデントに関する調査報告書 ~発生確率編~ (2010 年)( https://www.jnsa.org/result/incident/data/2010incident_survey_probability.pdf )には、2%程度のおっちょこちょいが複数の物を紛失しているようです。
この2%という数字は複数の物を紛失した人ですので、単発もあわせると、物を紛失する人はそれより多くいることになります。
2%という数字は、そこまで多くはないかもしれませんが、1年で2%であれば5年で10%近くになりますし、10名スタッフがいれば会社としては20%近くの確率で端末等を落とす可能性があると言えそうです。
これを書いている私自身、プライベートの端末ですが学生のときに落としてしまったことがあります。まだ持ち慣れていない頃でもあって、その後は落とさない工夫を色々としてそれ以降はなくなりましたが、1台目を落とさない工夫はもう何年も身についていますが、2台目は持ったことがないので、会社支給がでた場合にはどうなるかはわかりません。
ここまでで発生確率はなんとなく見えてきました。すくなくとも、ないわけではないといえるでしょう。
では次に、ハザードの大きさを検討します。
ハザードの大きさは、端末を落とした際に発生しうる最悪のケースを想定します。この場合、会社のデータはすべて携帯から閲覧することができるとするとわかりやすいでしょう。
そうした場合には、機密情報だけにとどまらず個人情報も全てが漏洩してしまうインシデントへと発展します。会社の事業がBtoBだけなら、個人情報とはいっても名刺交換などが多く行われている状況でもあるため、まだそこまで大きな痛手とならない可能性はありますが、BtoCの場合は甚大な被害になる恐れがあります。
BtoCの場合の影響の大きさについては、2014年に発生したベネッセ個人情報流出事件を参考にするといいでしょう。この事件の影響で、大規模な顧客離れが起き、同社は経営赤字に転落するなど、経営に対する重大な打撃をうけています。自社でも同じようなことが発生した場合、同様の賠償をもとめられるような事態になるだけの情報があるかどうかを確認します。
大量の個人情報がある・他社の重大な機密情報等があるという場合には、ハザードの大きさが特に大きいといえます。
さて、ハザードの発生頻度と大きさが測れたら、次はその2つの情報をあわせて検討が必要かどうかを確認します。リスクがあるからといって、全てに対応する必要があるかというと、そういうわけではありません。
リスクがあまりに発生する可能性が高いというのであれば、それは流石に対応をすべきでしょう。
極端な例になりますが、スタッフ全員がうっかりさんで年に20%も端末がなくなっているというのであれば、それはもう支給を諦めたほうがいいかも知れません。会社支給の端末はなくすけれども個人の端末はなくしていないようだということがわかるのであれば、BYODに切り替えたほうが安全ともいえます。
リスクはこのように、低減させるか回避をするのが基本となります。
しかし、それだけでは対応しきれないので、ときには転嫁という考え方も必要になってきます。
転嫁させる場合にも色々な手段が考えられますが、一番わかり易いのは保険をかける等の行為でしょう。個人情報の事故等に備えて保険に入っている企業様も多いのではないかと思います。そのようなものが「転嫁」に該当します。
そして、それ以上はもう費用対効果が見合わないというところまでされたのであれば、許容リスクとして「容認」することになります。
この部分については、災害時の事業継続計画を元にしたほうが考えやすいかもしれません。
果たしてリスクが「容認できるレベル」であるのかを確認する作業が必ず発生するので、リスクの評価としても適切といえます。
今回は詳細までは割愛をしますが、 「BCP策定のためのヒント」中小企業庁 にフローがわかりやすくのっていますので、今までやったことがないという方は一度ご覧になってもいいかもしれません。
話を絞って、社内の携帯電話についても同じ考えができます。
例えば、実際に携帯端末を落とした場合に、漏洩する可能性はどのぐらいあるかを評価してみます。落とした本人が速やかにデータを消すことができれば、落とした時からデータの削除までの時間が残存リスクである。残存リスクはあるものの、万が一他者に見られたとしてもデータを抜き取られるまでにデータを消してしまえば許容リスクということができるかもしれません。iPhoneでは確かにそうなのですが、Androidの場合はmicroSDを抜き取るには鍵も不要であり、且つ遠隔で消せるともかぎらないので、よりリスクは高いといえるでしょう。また、社内のデータを端末に保存できるようにしていた場合には、何のデータが保存されていたかも曖昧になり、よりリスクは大きくなります。流石にこの状態は管理されているとは言い難く、何かしらの対応をしてリスクを軽減していくことが望ましいです。
さて、今回は長くなりましたので、このあたりにしようかとおもいますが、今回記載しました内容をもう少しわかりやすく書いた資料を近いうちに公開しようと考えておりますので、興味のある方はぜひダウンロードしてみてください。