V.S.A. III

こんにちわ，五十嵐です．かなり長いことブログをお休みしていました．本日より，ぼちぼちと再開していきます．

会社のビルの周りの桜は全体としては7分咲きですが，中にはほぼ満開の木もありました．写真は喫煙所で撮ったものです．ちょっと古い携帯なのでいまいちですが，白い桜が見事に咲いていました．

喫煙所というのでわかると思いますが，私は愛煙家です．ビル全体が禁煙なので，外の喫煙所に吸いに行きます．全社禁煙になったのは，昨年末からですが，そろそろコートも要らなくなったので，息抜きにはちょうど良い季節になりました

ところが，ビルが全面禁煙になってから，トイレの便座に焼け焦げができるようになりました．身内の恥を晒すような話ですが，社員の中にルールを守れない者がいるようです．時々，トイレからタバコの臭いがすることもあります．嫌煙家の方にとっては，喫煙者全体への怒りとなってぶつかってくることでしょう．同じ愛煙家としても恥ずかしい限りです

そこで，ガバナンスとモラル･ハザードのお話．

会社の方針としてばかりではなく，ビルの規則として定められているものが，一部の人間によって破られる．これが縮小傾向ならばやがては消滅するかもしれませんが，隣の人もやってるという屁理屈で拡大していくと，ルールが形骸化します．これがモラル・ハザードです．

私は，モラル・ハザードが起きる要因には二つあると考えています．一つは，"Broken Window Theory"に見られるような匿名性がある環境での軽微な違反の放置から始まるものであり，もう一つは，過度な負担を強いる規則などからの抜け道探しです．

情報セキュリティ対策でも，誰にも知られずにこっそりできる状態があると，それを悪用しようとする輩は必ず出てきます．また，過度に負担を強いるような面倒な対策を講じると，人は必ず楽をする方法を見つけ出します．そのような状態では，いくらガバナンスを強化しようとも，必ずどこかで破綻してしまいます．情報漏洩などに関していえば，たった一人の違反者がいるだけで，すべての対策が台無しになってしまいます．

負担を強いる代わりに何らかの見返りが得られるような対策ができればよいのですが，そんなに都合の良い方策はなかなか見つかりません．攻めに使える情報セキュリティ対策．経済産業省などが推進しようとしているのは，そういうことなのでしょうね．

情報セキュリティ対策によって世の中を明るくするような，みんなが率先して行うような，そんないい方法はないものでしょうか．

【追記】
"Broken Window Theory" は，日本語では，滋賀県のページ「ブロークン･ウィンドウズ(割れ窓)理論とは」をご覧になるとよいかと思います．

<コメント by sato＞ Re: ガバナンスとモラル･ハザード

カテゴリ：情報セキュリティ , 雑感

<< 重要インフラセキュリティセミナー | Main | ソフトウェアを作ったら，罪に問われるかもしれない >>