年金情報流出事件、浮き彫りになったチーム力の欠如

対象組織を執拗に狙い撃つ「標的型サイバー攻撃」

まるで大がかりで巧妙な取り込み詐欺に引っ掛かったような、今回の日本年金機構の個人情報流出事件。これは、セキュリティー対策をきちんと施し、サイバー攻撃対策の知識があっても被害に遭ったと言われています。

対象組織を執拗に狙い撃つやり方の「標的型サイバー攻撃」によって、すべての組織が被害に遭うことはないと思われますが、今回のケースから一般の企業での予防と被害に遭った際の対応を考えてみましょう。

情報流出を防ぐために必要なのはチーム力

情報流出（漏えい）に関しては、ここ10年位で個人情報の重要性、ウイルス対策ソフトの導入、社員の意識改革などが行われてきました。その点では多くの企業はすでに対策はとれていると考えられますが、今回のケースでは、下記のように仲間との連携が脆弱（ぜいじゃく）であったことが浮き彫りになりました。

（1）NISC（内閣サイバーセキュリティーセンター）からの重要な情報に対し、上司への報告を含め、何もせずに放置した。
（2）NISCは、情報を提供しただけで、上司への報告や、日本年金機構にその後の対応の確認等のフォローをしていない。
（3）現場では、不審なメールに気づいたのにそのことを上司、仲間と共有をしていない（百数十通の内、メールを開いたのは数名で多くの職員は、攻撃を回避していた）。

システムを構築し、ひとりひとりに知識と意識の教育を行うだけでは防止できないことがはっきりしました。一緒に仕事を行う仲間の「トータルの力（チーム力）」を高める必要があります。

チーム力を高めることで不安や疑問、報告が的確に上がってくる

職場での「チーム力」の例として、次のような社員の行動が挙げられます。
（1）仲間の仕事を知る、気にかける。
（2）仲間の危ない行動、環境を見つける。
（3）危険な行動を見つけたら、仲間に指摘をする。
（4）仲間からの指摘を「ありがとう」と素直に受け入れる。

「チーム力」は、経営者や管理者がリードして作る職場風土です。部下との挨拶を大きな声と笑顔で率先して行う、社員同志の「ワイワイガヤガヤ」とした意見交換を推奨するといったことを根気よく実践することで高まっていきます。その結果、不安や疑問を自分だけの問題とせずに気軽に仲間と話す雰囲気や、報告がタイミングよく的確に上がってくる職場になります。

危機管理のリストアップと実際の訓練が大切

最後に、実際に訓練を行うことをおすすめします。情報流出だけでなく、コンプライアンス違反、食材偽装など、会社を破綻から守るために考えられる危機の事象をリストアップし、実際に訓練（シミュレーション）を行ってください。

訓練をすることで、初期対応の重要性の理解と組織の弱点、改善点を発見できます。訓練で報告ができない人は本番でも誰にも告げずに無視をするか、報告をしようとしても声が出ません。訓練の進め方やシナリオは、多くの会社で毎年行っている消防訓練を参考にすれば簡単に作れます。

（島本 長範／ヒューマンエラー防止コンサルタント）