いゃいゃ、紙だとコピーされたり紛失したり、よりリスクがあるからオンラインシステムを利用するんでしょ。紙にしても、その配布先を間違えたら、今回と同じ事じゃ無いの。勿論、紙の情報管理方法がより適切な場合もあるかもしれない。でも、通常の情報アクセスがオンラインで行われているのであれば、そこにそれとは異なる方法でより機密度の高い情報管理を入れることは、どうしても双方で齟齬が発生する可能性が高くなり、機密情報の事前漏洩は無くても、その情報の管理適用とか、別のもっと大きな問題が発生するんじゃ無いだろうか。
今回のような場合は、そう言う情報の内容や本体はNeed-to-Knowで管理されたDB上に置き、そこへのアクセスリンクを関係者に配布して、アクセスして貰うようにするのが本来の方法では。これなら、仮に関係無い職員がメールを受け取っても、実際にアクセスする時に弾かれて機密情報は守られるだろうし。ただ現実問題として、
- 上位管理者になるほど、そういうセキュアな情報にアクセスする時のID/PWやセキュリティ手順を忘れて「どうやってアクセスするんだ。面倒だから直接送れ」と言って、元のシステムに戻る(笑)
- 部下に「ID/PWはこれでアクセスして処理して」と機密管理が有名無実化する
- アクセス出来なくて、結局何も必要な手続きや作業をせず、後で「俺は聞いていない」と文句を言う(笑)
情報管理と言う意味では、一つはデータ自体の管理方法の問題があり、もう一つはそのデータを含めた運用の問題があると思います。今回の場合は後者に問題があったわけで、その対策としては前者を工夫することで避けられたかもしれない。ただ、こういう問題は必ずどこかで色々な形で発生してくるもので、発生したことを問題にするのでは無く、それを事例として動態対策が可能なのかという、前向きな考えを出していかないと、いつまでたっても本当に安心出来るシステムにならない。トラブルが発生したことは問題だけれど、それを糧として次に繋げず、昔の方法に戻ることだけで良しとするのは、いかにも硬直化した組織で有る事を内外に示しただけなんじゃ無いかな。だから、学校教育も遅れている、とまで言ったら言いすぎか(笑)。
0 件のコメント:
コメントを投稿