12月13日・14日とデジタル・フォレンジック・コミュニティという研究会に参加させていただきました。フォレンジックというのは一般的には聞きなれない言葉かと思います。フォレンジック（forensic）は、法医学の・科学捜査のといった、鑑識をイメージさせる意味をもつ形容詞です。すなわち、デジタル・フォレンジックとは、コンピュータ世界の鑑識という意味になります。つまり、この研究会では、コンピュータの不正利用・情報漏洩・不正アクセスによって事件となったときのために日頃からどのようにガイドラインを作っておくか、訓練をしておくか、事後対応はどうするかなどを研究しているようです。私も初めて参加させていただいたのですが、非常に有用な会であったと感じています。

　この会で、私が特に重要性を感じたことは3点あります。

1. リスクとコストのバランスを考慮した予防保全
2. 適切な事故対応に対する訓練
3. 従業員に対する本質的な意識醸成の場づくり

　まず1について。不正アクセスや情報漏洩の対策というと極端に考える人が少なくありません（対策をはじめるとイタチごっこで、システム構築にも教育にも相当にお金がかかりそうだから、やらないという人、意外といらっしゃいます）。もちろん、どこまでいってもハッカーとのイタチごっこだというのであれば、諦めてしまうという気持ちもわかります。ですが、犯罪の芽、すなわち、不正アクセスや情報漏洩の大半は、内部関係者・内部関係者だった人・システム連携のある取引先といった内部要因が大半を占めることを忘れてはいけません。さらにいえば、外部からクラッキング（ハッキング）で事故が起きましたというより、内部者が原因で事故が起きましたというほうが、社外的に評判を落とす率が圧倒的に高いのも事実です。また、業種によっても対策のレベルは異なります。たとえば、飲食業は金融業ほどの対策は必要ないわけです。発生したときのリスクも考えながら、コストを掛けていくことが重要です。コストをかけすぎて、業績が悪化してしまったら本末転倒ですから。

　次に2について。これは、多くの中小企業が実施していないと思います。大企業でも、ガイドラインやマニュアルはあっても訓練まではしていないという企業が多いのではないでしょうか？複雑なものではなくてもよいので、防災訓練と同じく、情報漏洩が漏れたときの簡単な想定事例を作って、年に数回訓練することは大変重要なことだと考えます。訓練を通じて、活きたマニュアルに仕上がっていきます。また、対策という意味では、情報漏洩保険のようなものに加入しておくことも重要です。

　次に3について。私は、これが一番重要だと考えています。今回の研究会では、人というよりもしくみにフォーカスがおいて話が進んでいるように見受けました。性悪説にたって、仕組みで防ぐという形です。もちろん、それも重要ですが、たいてい性悪説にたってしくみをつくる先に待ち受けているものは「不便」です。だからこそ、従業員は抜け道を探します。抜け道がまったくない対策をつくればつくるほど業務効率は落ちますし、ある程度の抜け道は暗黙の了解となる場合もあります。だからこそ、従業員に本質的な意味を理解してもらう場が必要です。意味を理解する場は、一方的な教育やすこしばかりのグループディスカッションではまったく意味をなしません。たいてい、きれいごとで終わります。情報漏洩や不正持出しが及ぼす会社にとってのリスクは自分自身に取ってのリスクを理解するためには、様々な考え方（気にしない人、気にし過ぎる人、ヒヤリとした事象経験者など）を混ぜあわせた多面的な議論の場が不可欠です。このような議論を通じて少しずつ納得が深まっていく過程で、ヒヤリとする事象に出くわすか、たまの研修教育で表面上理解していて忘れた頃にヒヤリとした事象に出くわすかでは、その人の危機意識の醸成レベルがまったく異なります。多面的な議論の場をきちんと設けることが費用は少なく、大きな効果を生む道だと考えています。