誤交付や誤発送による情報漏えい事故を本気で防ぐ方法

サイバー攻撃による情報流出事件事故がメディアで騒がれるようになってから久しいですが、情報漏えい事件事故の発生件数で見ると、ヒューマンエラーによる事件事故が目立っています。

私の組織でいうと、毎年最も発生件数が多いのは、悪意ある第三者のサイバー攻撃ではなく内部の者による書類の誤発行や誤交付、誤発送です。

形骸化しているダブルチェックのルール

私の組織では、書類や郵送物は複数人でダブルチェックしてから発行、発送するようルールを定めて、機会あるごとに何度も教育しています。

しかし、何度言っても、誤交付や誤発送は毎年数件必ず発生します。

忙しくて周囲もバタバタしているから、担当者以外が誰もチェックせず書類を発行している。

担当者からチェックを依頼された者が、内容を確認せずにチェックした気になっている。

このようなヒューマンエラーによって、誤発行や誤交付、誤発送による情報漏えい事故が発生しているのです。

事故の原因はヒューマンエラーではない

情報漏えい事故が起こると、部署の責任者から事故報告書が私のところにあがってきます。

情報漏えい事故報告書には、原因や今後の対策などが書かれています。

事故原因は、担当者やダブルチェックをしたとされる者の不注意だった。

今後の対策は、部署全員に情報セキュリティ教育を行いダブルチェックを周知徹底する。

という内容がほとんどです。

つまり責任者は、事故原因は人であり、再発防止策は人の教育だと考えています。

しかし組織においては、事故の原因はヒューマンエラーではありません。

ヒューマンエラーが起こる原因が他にあるのです。

人はかならずエラーを起こす

  1. 人間は間違える
  2.  人間はウッカリする
  3.  人間は忘れる
  4.  人間は注意散漫になる
  5.  人間は慌てる
  6.  人間は感情的になる
  7.  人間は思い込む
  8.  人間はサボる
  9.  人間はルールを守らない
  10.  人間はパニックになる

人間は、教えられても、分かっていても、ときにエラーを起こす生き物です。

だから、エラーを起こさない為にどうしたらよいのか考え、「言っているだけ」じゃなく、エラーが起こらない対策や工夫を行うことが必要なのです。

「あれほど言っていたのに!」と、言うのは、「言っているだけ」で、対策や工夫をしていないということです。

誤発行や誤発送を防ぐ対策や工夫

誤発行や誤交付、誤発送を防ぐためにダブルチェックを行うこと。

というルールを定め、機会あるごとに周知徹底を図ることは大前提です。

そのうえで、周知徹底だけに頼ることなく、周りがバタバタしている時でも自分以外の者にチェックをしてもらい、チェックをする者はしっかりと内容をチェックするために、私が推奨する工夫があります。

それは発行書類や郵送封筒に発行者欄と確認者欄を設けることです。

組織の誰が発行し誰が確認したのか分からないから事故が起こる

誤発行や誤交付、誤発送した書類は、組織名や担当部署名しか記載されていない場合が多いです。

何か事故が起こっても、その書類を誰が発行したのか、なんとなくは分かるけど明確じゃないし、誰が確認したのかは分からない。

あるいは、本当にルール通りダブルチェックされたのか分からない。

だから、バタバタしていて忙しい時や、周囲に気軽にチェックを頼める人がいない時にダブルチェックがされない。

チェックを頼まれた人も、発行者は間違いなく書類を作成し発行していると思い込むし、チェックを頼まれた自分には責任がないと思っているので、しっかりとチェックしない。

という事が起こるのです。

忙しい時にそんな時間をかけられない、と面倒に感じる人も多いでしょうが、ダブルチェックしなければならない重要な書類は、どんなに忙しくてもダブルチェックが必要なのです。

もしも、忙しいせいで情報漏えい事故を起こしてしまうと、苦しむのは発行担当者自身です。

担当者がうっかりしていた、担当者が思い込んでいた、担当者が慌てていた、から、事故が起こったと責任者は言います。

「(担当者に落ち度があったから)再発防止のために再度ルールを周知徹底する」と言われてしまいます。

でも本当はそうじゃない。

何度も言いますが、ルールを周知するだけだった組織に落ち度があり、ルールを守れる工夫や対策をしなかった事が事故の原因です。

だから再発防止のために、発行書類や郵送封筒に発行者欄と確認者欄を設けることを私はアドバイスしています。

○○○(部署名)では書類のダブルチェックを行っています。と書き、発行者と確認者の欄を設け、そこにそれぞれシャチハタ印でもゴム印でもいいので姓だけでも示す。

そうすることで、発行者も確認者も責任を持って内容をチェックするようになるでしょう。

ちなみに私は、セキュリティ担当部門が誤発送とかシャレにならないので、自分の係内で実際に行っています。

発行者と確認者の紙を封筒に貼ってダブルチェックが行われていることを明示しています。

封筒の数を数えて用意する事で防ぐ事も出来る

発送対象者数が100人なら封筒を100きっちり用意して封入作業を行うと、1人に1枚の書類を送るところ、別人の書類が重なったまま、一緒に封入してしまう事故は防ぐ事ができます。

いくら窓付き封筒を使っても、もう一枚他人の分が余分に重なったまま発送してしまうことは防ぐことが出来ません。

この事故は実際に私の組織でも起っています。

事故を起こした部署は「ダブルチェックを徹底します」と報告してきますが、どのようにダブルチェックすれば事故を防ぐ事が出来るのか考えていません。

そこで私が実際に使っていて、アドバイスしているのが発送対象者の分しか封筒を用意しない方法です。

大量の発送作業には向かない方法ですが、100人くらいの発送対象者なら、100の封筒をきっちり用意して、全員分の書類を封入して封筒に過不足なければ、2人分の書類を一緒に折り込んで発送してしまうという恐れはないと判断出来ます。

多めに封筒を持ってきて、封入していると、本当に一つの封筒に一人分だけ封入されているのかは、いちいち中身を出さないとチェックできません。

そのようなダブルチェックを要求しても、結局は実効性がなく、再び事故は起こります。

窓付き封筒を使うなら、この方法だけで誤封入の事故は減るはずです。

封筒の重さを一つずつチェックする

もう一つ、一つの封筒に複数人の書類を誤って入れていないか確認する方法があります。

この方法も実際に私が使っていた方法で、それは郵便物の重さを計る時に使う重量計で封筒を一つ一つ計って見ることです。

この方法でもA4用紙一枚多く封入されていることは分かります。

もっとも簡単で、もっとも効果のあるダブルチェックの方法を考えてこそ、再発防止策になるのです。

システム改修や厳重な管理は必要ない

郵便物のあて先(ラベル)と封入した書類の氏名が異なる、という誤発送を防ぐには、窓付き封筒を用意して、システムが印刷した書類を正しく織り込めば封筒の窓に書類に記載されたあて先が見えるようにする。

こうすると、封筒にあて先を書いたりあて先ラベルを貼ったりする手間も省けて誤発送も起こりません。

しかし、システムの印刷レイアウトを変更するには相当の費用が発生するので、次期改修を待たずに変更する事は困難です。

また、厳重管理方針に舵を切り、書類の発送台帳などを作成しダブルチェック者までも管理することは、台帳に記載する担当者も、その台帳を管理する責任者にも負担になります。

作業効率も落ちるとクレームが出るでしょう。

厳しくルール化することは簡単ですが、遵守し辛いルールを定める事は逆効果にもなります。

一意にルール化することは難しいけれど、このような厳重な管理が必要な部署もあるので、状況に応じて対策してもらう必要もあります。

だから今すぐに、なるべく作業効率を低下させず、情報セキュリティを向上させ、情報が守られ、二度と担当者が苦しむ事がないよう、発行書類や郵送封筒に発行者欄と確認者欄を設けることを私はアドバイスしています。

そんなの無駄だと言われるかもしれませんが、コストをかけずに出来ることはとりあえずやってみる。

そして問題があれば、また考えればよい。

何も対策をせず、工夫をせず、周知徹底するだけよりは、絶対に再発防止につながるはずです。

ワンオペでも発行者を明確にすれば事故抑制効果がある

受付から書類発行や郵送を全て一人で行うワンオペを強いられる職場環境でも、発行者は〇〇です、と書類や封筒に明示することで、内容を確認しようとする意識付けになるし、お客さまに対しても丁寧な仕事をしている事が伝わるでしょう。

何千通、何万通という大量発送業務には予算が付けられていて、専門業者に委託され、窓付き封筒を使うことが多いので、書面の本人と違う人に誤発送されることはほとんどありません。

そして、誰がこの書類を作成したのか、誰がこの書類を送ってきたのか、が相手にはっきりと分かってしまう業務では、責任が明確なので、それなりにチェック機能も働き、誤発送や誤交付は起こりにくいです。

私の組織には400以上の部署がありますが、誤交付や誤発送事故が起こるのは特定の部門に偏っています。

いままで事故が起こっていないのは、業務内容や職場の環境などいろんな要因が良い方向に働いているのでしょう。

だからといってどんな業務でも重要な情報を扱っているなら油断は出来ません。初めての失敗が取り返しのつかない事になるのを、私は何度も見てきました。

転ばぬ先の杖は絶対に必要です。

一度やらかしてしまった部署は「あの人がうっかりしていたから」だけだと思っていると、必ずまたやらかします。

事故はヒューマンエラーが原因で起こるのではなく、ヒューマンエラーが起こる原因があるから事故が起こることを理解して、ヒューマンエラーを起こさないための工夫や対策が為されているのか、あなたの部署も今一度見直してみましょう。

コメント