油断と過信が招く悲劇。リスクを考えるキーワード「ハインリッヒの法則」

インシデント,ウイルス,マルウェア,情報漏洩

LINEで送る
Pocket

みなさん、おはようございます。こんにちは、こんばんは。そして私は、徹夜明けです。某アニメのロボットと間違われがちなイニシャルの、社内SEのM・Sです。

さて、本日お届けしたいテーマは、「油断」です。
みなさんも、ちょっとした「油断」が思わぬ事態を招いてしまった経験をお持ちでは?

災難は、ちょっとした「油断と過信」から起こる

たとえば僕には、こんな幼い日の思い出があります。ドライブ中、トイレに行きたくなった僕ら家族は、駐車場のないコンビニの路肩に駐車して、用を足しに行きました。たったの5分、戻ってきたら、車の横にパトロール中の警官が……! 短時間でも、駐車違反は駐車違反です。「少しくらい大丈夫だろう」という父のほんの少しの油断がなければ、母はあんなに怒ったりはしなかったはず……。

ほかにも、「連勝中のチームが、負けるはずがなさそうな下位チームに大敗した」「たまたまストーブを切らずに家を出たら、ボヤ騒ぎに……」などなど、ちょっとした油断や過信が大事件を招くことは、とてもよくあります。いえ、むしろ、ほとんどの事故がちょっとした油断・過信を原因としているといってもいいほどです。

リスクを考えるキーワード:「ハインリッヒの法則」

みなさんは、「ハインリッヒの法則」というのをご存知でしょうか。別名、「1:29:300の法則」とも言います。これ、何の比率を示しているか、わかりますか?

これは、ハーバート・W・ハインリッヒというアメリカの安全技術者が提唱した、労働災害の発生に関する経験則の考え方です。

この比が示すのは、〈1件のきわめて重大な事故のウラには、29件の軽微な事故が。そしてさらにそのウラには、300件ものいわゆる「ヒヤリ・ハット」(あやうく大事故に発展しかねなかった、小さな異常事態の発見)が起きている〉ということです。

もともとこれは工場での労働災害の発生数を調査したことで得られた経験則でしたが、情報漏洩など、情報セキュリティにおける「インシデント」(※)においても、同じことが言えます。

※インシデント(incident):安全を脅かす(脅かすおそれのある)事故・事件などの事態のこと。。

よく、深刻なレベルの情報漏洩などが、ニュースになることがありますよね。「ハインリッヒの法則」で考えれば、そのウラには”少しの油断”による約300件にも及ぶ「ヒヤリ・ハット」が起きていたことがうかがえます。また逆に、日々「あわや大惨事になりかねない」事態が、職場のすみずみで何件も同時多発しているかもしれないわけです。……それを考えると、なんだか少しヒヤッとしませんか?

「ちょっとだけなら……」それが危険なんです。

情報漏洩などのインシデントがどのようにして起こっているか、考えてみたことはありますか?

たしかに、サイバー攻撃など、防ぎきれない外部からの不正なアプローチが原因となることもありますが、
その多くは、「個人の日常的なうっかりミス」が原因となっているんです。

「PCには高いアンチウイルスソフトを入れてるし、よほどのことがなければ大丈夫!」

「会社のIT・セキュリティ管理部門は優秀だから、何かあってもなんとかしてくれる」

「漏れたら困るような、価値あるデータを扱っているわけでもないし……」

こんな風に思ったことはありませんか?

どんなに高性能な道具や、セキュリティシステムを使っていても、
それを操作する「人」のほうが性能を過信して油断していたら、意味がありません。

とくに、いわゆるのぞき見をする「ショルダーハッキング」などのシステムを介さない情報詐取(「ソーシャル・エンジニアリング」……くわしくはこちらの記事へ!)や、増加傾向をたどる「標的型攻撃メール」などの巧妙な「なりすまし」行為などは、システムの力に頼るのではなく、“私たち”が意識して回避していく必要のあるリスクです。

【あわせて読みたい】
ウイルス対策の「予防接種」はお済みですか? ヘルスケアとセキュリティのつながりを考える
あなたはいくつあてはまる?情報セキュリティの「リスク」チェッカー
日常に潜む情報漏洩のリスク:「井戸端会議」に要注意!/大事なのは自宅のカギだけ?

昔の人は言いました、『備えあれば憂いなし』と。
たった1パーセントのリスクが、社運を左右する」ことだって、決してありえないとはいえません。
一瞬たちどまって、あなたの心にひそむ「油断と過信」を振り返ってみてくださいね。

 

おすすめリンク

リスクマネジメント研修
インソースのセキュリティサービス
【公開講座】リスクマネジメント研修~未然に防ぐ方法を学ぶ
【講師派遣】リスクマネジメント研修 ~業務改善編(2日間)
【公開講座】(半日研修)コンプライアンス研修~個人情報保護、情報セキュリティ、SNSのリスクを知る編

LINEで送る
Pocket

to top