セキュリティ対策を強要することで正義の味方気分

セキュリティに関するルールを振りかざして、まるで自分こそは正論とでもいうような態度でもって対応するシステムエンジニアは今でも存在する。残念なことだが。

[セキュリティのずさんな実態]診療データを持ち出す医者【日経BP】

今野氏も,診療データは病院内のしかるべき場所で厳重に管理し,院外への持ち出しを原則として禁止すべきだと考えている。罰則も含めた規定を設け,個人情報の取り扱いにかかわる誓約書を医師に求めた。だが,医師たちは猛反発した。今野氏は,誓約書の提出をそれ以上強く求めることができなかった。

まさに一方的なシステムエンジニアの論理の押し付けである。禁止するだけならバカでもできる。誓約書を準備して、ルールを守らせるのがソリューションであるなら、わざわざコンサルやエンジニアを雇う必要はない。コストのムダであるので、即刻契約の解除を検討すべきだ。

だいたい、個人情報持ち出しを完全に禁止した結果、医療の研究が進まなくなったとしたら、もしかしたら救えるはずの命が救えなくなるかもしれない。

実は言うと、ここ数年の個人情報漏洩対策ソリューションではこのような、利便性へのトレードオフとなる問題に対して、ある程度解法を用意してある。例えば以下のようなものだ。

 ・ハードディスク全体を暗号化する
 ・暗号化されたPCにしか持ち出しができない
 ・持ち出しの履歴は保管される
 ・持ち出すデータは自動的にマスク(黒塗り化)される

この場合、まず一番最初に検討すべきは個人情報持ち出し禁止の誓約書にサインをさせることではなく、病院側で十分に管理されたノートPCを配布して、それでのみ業務を行えるようにすることだ。その上で「そのPCでしか個人情報を扱いません」という誓約書にサインをさせる。

それが難しいなら次善の策として、アンチウィルスソフトのライセンスを個人用にも配布し、それらの対策が採られていないPCでの個人情報の取り扱いを禁止する。もちろんその旨の誓約書にサインをするわけだが、少なくとも「いきなり禁止」よりは遥かに抵抗は少ないだろう。

このようにして、利便性に影響を与えないように配慮しながら、少しずつ対策を強化していく。幸いなことに近年では、いきなり誓約書にサインさせるような質の悪い提案をする企業は少ない。

——————————-

そもそも、セキュリティ強化が反発を招く最大の理由は、それを押し付ける側の「我こそは正義」という意識にある。セキュリティへの対策は正しいのだから、我々に従うべきだというその態度だ。

結局、エンジニアだろうが医者だろうが、人間は感情の生き物なので、そういうところを相手は敏感に感じ取ってしまう。記事中には

そのような医師側の気持ちを理解できないこともない。だが,そうした点を考慮しても,今野氏はやはり個人情報保護を最優先すべき課題と考える

こういう主張もしばしば聞くのだが、これほど薄っぺらな言葉はない。本当に、言葉だけだ。言うだけならタダである。単に「気持ちを理解している」といって済むのであれば、エンジニアやコンサルを雇う代わりカウンセラーでも雇ったほうが遥かに効果的だ。彼らは本音では自分たちのセキュリティ対策を遵守することがまさに正義であると考えている。

もし本当に気持ちを理解しているなら、それを具体的なソリューションに反映するのがエンジニアやコンサルの仕事ではないだろうか?

「利便性を出来るだけ落とさずセキュリティを向上させるために、最大限、苦労して考えてみました」そう主張できる施策を最初に持ってこなくては、相手の理解を得ることなど不可能だろう。そうした努力が認められて、信頼関係が生まれて、初めて相手は厳しい要求も受け入れるようになる。

——————————-

単にセキュリティのルールを守らせたいのであれば、警察にでも転職すべきだ。あるいはNPOでも立ち上げて、全国の病院に質問状を送りまくって、病院のセキュリティレベルの低さを糾弾しまくるとか。

しかし我々は警察ではなく、ビジネスマンだ。クライアントとその先にいる顧客の満足を達成して、対価を得る存在のはずだ。現実的に如何にセキュリティリスクを減らすか?その為にはどのように具体的にステップを踏んでいけばよいのか?その解法を提供するのがビジネスマンであって、どうせ守れないルールを押し付けるのは仕事とは呼べない。

どうせ守れないルールを作り、そのルールを守らせる誓約書を書いたとして、一体誰が幸せになるのだろうか?それを突き詰めて考えれば以下のようなことが分かるはずだ。

患者(顧客): どうせ守られないルールなら漏洩リスクは同じ。幸せではない
医者(従業員): どうせ守れないルールの誓約書を書くことで損害賠償リスクが高まる。幸せではない
院長(経営側): どうせ守れないルールの誓約書を書かせることで、損害賠償リスクの一部を医者に付け替えることが出来る。幸せ。

「経営者のために、顧客と従業員を犠牲にしろ」というソリューションを、どうしてこんなに自信満々に、まるで正義の味方のごとく提案ができるのか、私は理解に苦しむ。

カテゴリー: IT

コメントを残す

メールアドレスが公開されることはありません。