従業員がインシデントやイベントについては、私は、次の4つに分類してみました。
1 不正
2 面倒
3 無知
4 うっかり
1の「不正」は、悪いことを知っていて、故意に個人情報を持ち出して、売ってしまう、みたいなケースです。故意にやるので、情報システムなどの抜け道を探られたりします。知識はあるので、通常の周知では効きません。
この不正については、「不正のトライアングル理論」もあるので、また別途考えたいところです。
2の「面倒」は、情報セキュリティ上の手順を知っているが、面倒なので手を抜いて、インシデントとなってしまうケースです。これも質が悪いですが、ある程度の周知も効果があります。
3の「無知」というのは、情報セキュリティの知識がなく、インシデントを引き起こしてしまうものです。悪意はありませんが、周知したものを見ていません。こういう従業員に届く周知方法を考えていきたいです。
4の「うっかり」は、情報セキュリティの知識があり、まじめにやっているのですが、ヒューマンエラーにより、インシデントを引き起こしてしまうものです。報告した時点でかなり反省していて、叱責されるのも気の毒です。このケースは、私の医療安全対策の業務をやった経験を活かして、防いでいきたいところです。
ということで、私なりの対策をご紹介していきます。私は「ビしし・メソッド」と呼んでいます。