なぜ、トップが指示する必要があるのでしょうか。

西本 :現場でのルール違反は絶対になくならないからです。

 あらゆる企業や行政機関は、セキュリティーポリシーやシステム運用のルールを定めています。ところが、こうしたルールは仕事の効率性などと矛盾しがちですし、守っているだけでは技術の進歩について行けない面もあります。そこで、セキュリティーの品質や精度を高めるために、ある程度のルール違反が許容されます。

 逆に、全ての業務をルール通りに間違いなく実行するのは、おかしな組織ですよね。

 ですから、現場でのルール違反は定期的にチェックして修正させる必要があります。ルールが実態にそぐわないなら、ルール自体を改めないといけない。これこそが、管理者や経営者の仕事なのです。

 こうした努力を怠ってルール違反が放置された場合、経営者の責任は免れません。今後、企業から個人情報などが漏洩した場合、この点が明確に問われることになるでしょう。

やらない人が「得」では報われない

そもそも、情報漏洩を起こすことが悪いのでは。

西本 :その質問自体が問題です。

 企業がセキュリティー関連の事件や事故を起こすたびに、マスコミや行政当局などが「けしからん」「対策が甘い」と言い続けたら、どんなことが起きると思いますか。誰もセキュリティー対策を真剣に考えなくなりますよ。

 サイバー攻撃を防ぎ切るのは不可能です。経営者はそれを知りつつ、お金を投じて対策を進めているわけです。そうした努力が全く評価されないなら、投資した甲斐がありません。

 事故や事件が起きた際に、セキュリティー対策を「やっても」「やらなくても」同じように批判されるのが、今の日本の現実です。何か問題が起きたときに備えて、泣き方や謝罪の方法を準備しておいた方が効果的かもしれません。

 対策しない人が「得」する状況を決して許してはなりません。

 今後IoT(Internet of Things)が普及して様々な端末がネットにつながるようになると、この問題はさらに深刻になります。セキュリティーを考慮しない端末やサービスの方が、安価で便利に使えるのは間違いないからです。市場原理に任せると、そうしたサービスが横行することになりかねない。真面目にルールを守ることが、これまで以上に求められると思います。