性善説なのか性悪説なのかどっちつかずではどうにもなりません。
USBメモリやノートPCなどが持ち込み禁止のオフィスにもかかわらず、持ち物検査がありません。
持ち込み検査がないと分かれば、悪意をもった人々は、どんどん持ち込みをおこないます。
当然のことながら、情報の持ち出しもおこなわれるでしょう。
その点についてツッコムと帰ってくるのはこんな言い訳です。
社員同士、あるいは取引先との関係は相互の信頼関係に基づく。
持ち物検査をするような関係では、健全な信頼関係はこれを築くことができない。
健全な相互の信頼関係ですって。ぷぷぷ。
そんなに信頼できる相手なら、最初から持ち込み禁止にする必要なんてないでしょうに。
不可抗力での事故などを防ぐためにお願いしている。
ますますわけがわかりません。
では、不可抗力で持ち込んでしまったUSBメモリを不可抗力でPCに接続し、たまたま感染していたウィルスがデータをコピーしてしまい、持ち帰った取引先の会社のLANを通じてインターネットに流出してしまうことはありえないわけですか?
持ち込みを禁止する目的は、ただひとつ、物理的な隔絶です。
立ち入り禁止と同じです。
工事現場に立ち入り禁止の立て札を立てていたとして、子供が入り込んで怪我をすれば、管理者が責めを負うのです。入れないようにフェンスをしてあるのを壊して進入でもしないかいぎりは。
持ち込み禁止という貼り紙だけで、コトがおこったら責任を取ってもらいますからね、という暗黙の了解は、本当に大事故が起きたときには通用しないわけです。
工事現場にガードマンを立たせるのが当然であるように、持ち込み禁止なら、カバン自体を持ち込ませないようにするしかありません。
また、非定期の抜き打ちチェックも必須です。
いいですか、お金を扱う仕事のプロの職場はデフォルトでそういう風になっています。私物が持ち込めるエリアとそうでないエリアが分離されているわけです。ちょっとしたスーパーマーケットですらそうです。
もし機密情報を取り扱うまたは触れる職場なのであれば、私物持込は当然禁止になります。
エリアの境界には監視員を立てて、持ち物チェックです。
それをやらないで、情報流出の恐怖に備えるというのはただのマヌケであることを考えたほうがいいです。
私が指摘しているのは、中途半端な対策は、無駄であるということです。
さらに言いたいのは、効果のない無駄な対策のために、業務の効率が低下しているだけだということです。
業務の効率が低下して、かつ情報流出のリスクが低減できていない対策は、百害あって一利なしなのです。
次善策としては、情報流出させないことへの協力を約束する書面および、事故発生時に可能な限り協力する旨の契約があれば充分です。
「持ち込みません」の条項は全く無意味だということです。
「持ち込みません」の代わりに「持ち込む機器はすべて番号を付けて管理するとともに報告します」が正しい対処だとおもうんですがねぇ。
どこぞで見かけたような気のするマニュアルにもそんなことが書いてありました。
