読者です 読者をやめる 読者になる 読者になる

構築中。

名古屋のインフラエンジニアです。ITイベントへの参加記録などを残していきます。

守ろうとしないのも問題だが、守ろうとしすぎると、かえって失うものもある

雑記

情報セキュリティの文脈では、よく

「うちの会社に守るべき情報なんて何もない」

という言葉が出てきます。

一方で、

「社内の情報は全て機密情報だ。流出させてはいけない」

という、正反対の反応を示す企業もあったりします。

というか、現実も「両極端」であって、中間は意外と少ないのではないかと思います。

 

後者の場合、委託先や従業員に対し、「情報・ノウハウなどの保護」を包括的に規定する契約や規則を結び(作り)がちですが、実際のところ、

「包括的すぎて、何が保護すべき情報・ノウハウなのか、具体性がない」

「全てが『秘密』とされる結果、特別扱いされる情報・ノウハウがなくなり、逆に『秘密として管理されている』ことの実効性がなくなる」

公序良俗に反するので無効」

など、結果として、技術的にも法的にも保護されない状態になってしまう、という残念な事態になってしまいます。

 

もっとも、私自身は、法的・技術的な保護の問題以上に、

「自社の持つ情報・ノウハウを全て『自社(オレ)のもの』と考えて、それを勝手に使ったり流出させたりしないよう規制する企業の姿勢が、委託先や従業員の心を遠ざける」

ことのマイナス面のほうが大きいかもしれない、と思います。

 

企業の持つ情報・ノウハウの中には、一般に流通している公知のものも多くあります…というより、そちらのほうが多いはずです。

それらの中には、本来であれば「自分(自社)独自の情報・ノウハウ」として秘密にしておけば大きな利益を生んだかもしれないのに、あえて公開することによって、社会の発展のために役立てられたようなものもあります。

 

もちろん、そのような公知の情報・ノウハウを、いくら「営業秘密だ」と主張しても、法的には(原則)保護を受けられないのですが…そのこと以上に、本来なら、そのような、自社の活動に役立つ情報・ノウハウを社会から受けているにも関わらず、「我が物」として、委託先や従業員に対して、

「我が社の事業以外に対して、その情報やノウハウを無断で使うな」

という姿勢自体が問題です。

 

委託先も従業員も、企業の従属物でもなければ、奴隷でもありません。「自社の仕事」をしている時間以外は、基本的にはそれぞれの自由です。

 

自社の事業活動以外に関して、過度に干渉するのは良くない、ということを、きちんと考えておいたほうが良いでしょう。

 

お金も大事ですが、「人の心」を遠ざけてしまっては、企業活動は成り立ちません。

 

どこかの協会・機関の調査だったと思いますが、企業内で働くDBA(データベースの管理者)に対し、「あなたは(データ漏えいなどの)不正を自分自身で行おうと思いますか?」というような主旨の質問をしたところ、回答者の約3割から「するかもしれない」という回答があった、という結果が示されていました。

個人的にはかなりショックな結果でした。本音で回答していない人が一定数いるはずにもかかわらず、3割が「するかもしれない」、というのは。

「人の心が離れているな」と感じる結果でした。

 

情報セキュリティについて、技術的・法的な側面だけでなく、人の心の面についても、「過少でも過剰でもいけない」ということがもっと意識されてほしいな、と思います。

 

もっとも、「正当な権利」を有する情報・ノウハウをきちんと守ろうとするのは当然です。

それを確実にできるようにするために、「正当な権利を持つ=本来保護すべき情報・ノウハウとそうでないものを区別して扱う」、ということが大切です。