正しくリスクを認識し、適切に扱うために

前提

リスクは大きく3種類。このリスクを防がないといけない

1. 情報漏洩のリスク

大事に扱う情報

個人情報

NDA結んだ上でお渡しいただく情報

著作権・特許

事業上のノウハウ

2. サービス停止リスク

社外からNPに期待されている役割を全うできない状態

SLA・契約書にて取引先と合意しているはず

3. 訴訟・損害賠償のリスク

お預かりした情報の漏洩

サービス停止に伴う、お客様への損害の発生

SLAを守れているか

リスクは「何かアクションを行う」から発生する

飛ばない飛行機に墜落リスクはない

走らない電車に脱線リスクはない

障害が絶対起きないsystemはない

リスクの発生確率・ダメージの大きさは「UseCase（使い方）」によって決まる

点検業務が月一回しかなければ、整備不良による墜落リスクは上がる

急カーブが多い路線で、たまたま乗客が多く乗降に時間がかかった場合、スピード超過による脱線リスクは上がる

上記前提を踏まえて、リスクの整理は以下の流れで行う

0.iconそもそもどんなBenefitのためにやろうとしているのか

1.iconUse caseの整理をする。どう使おうと思っているのか。

2.iconUse caseごとのriskの洗い出し。どんな損害が発生しうるのか。

3.iconリスクに対して「予防・対策」を計画。

4.iconリスクに対して「リカバリープラン」を計画。

5.icon予防・対策・リカバリープランと、Benefitを踏まえて、「それでもこの使い方をするか」の意思決定

1.iconUse caseの整理。どう使おうと思っているのか。

2.iconUse caseごとのリスクの洗い出し

Human Error（悪意のないミス）とMalicious attack（悪意ある攻撃）の2つに分けて想像する

このタイミングは「そんな大袈裟な…」と思うレベルに全部の可能性を洗い出す

Human Error

参考：/shokai/泥酔指向デザイン

めんどくさい、ちゃんと理解できない状態（泥酔状態）だと起こりうるミスは何か？と考える

Malicious attack

「この組織を見限って、悪意あるアクションをしてやろう」というときにやれることを考える

3.iconリスクに対して「予防・対策」の作成

「予防・対策」は3種類の観点で整理をしていく

システム制御

リスクある操作がそもそもできない状態にする

例：会社貸与のPCでなければ仕事ができない状態にする

マニュアル整備→徹底

リスクがない操作だけが実行されるよう、「この使い方をしてください」を定義する

例：ファイル送るときはパスワードつけてメールに添付するのではなく、専用のファイル送信アプリを使う

利用者のリテラシー依存

リスクある操作を本人が避けるよう、「この使い方は（〜〜という事故を起こすので）まずい」と認識する

例：資料を転送すれば自分のPC/スマホでも仕事ができるけど、自分のPCのセキュリティには不安があるので、絶対やらない

3つの施策どれでリスクを抑えてもいいが、「システム」→「マニュアル」→「リテラシー」の順で検討する

理由

マニュアル・リテラシーに依存すると、利用者を制限する必要が出てきてしまう

「正しい使い方」を自分が遵守するよう、気をつけながら作業しないといけない。

作業時間帯（集中力が落ちがちな夜）によってはriskが上がる

例：Data削除のボタンが画面上にあって、一度押せば削除されてしまうから、「Data削除じゃないよね？」と確認しながらマウスでクリックしなければならない

Human Errorの発生riskが上がる

できるだけシステム制御することで「誰が使っても安心」「いつ使っても安心」の状態を作ろう

寝不足な状態は飲み過ぎと同じくらい注意力が低下する

「忙しい時にもやらないといけない作業」であれば、システム制御を入れてriskを下げておこう

4.iconリスクに対して「リカバリープラン」の作成

予防・対策を立てていても「リカバリープラン」は考える

理由

複数人が利用する場合、「想像もしなかった使い方」が必ず発生する

想像もしていないので、riskとして認識できていない

予防も対策も準備されていない可能性がある

特に普段関わりの薄いmemberも利用する場合は、「マニュアル通りにやってくれない」もriskとして考えておく

リカバリープランは以下3つの観点で整理する

1. 事故の発生にどうやって気づくか

早く気づけた場合、致命傷にならないことも多い

例：インターネット上に機密情報を公開してしまったが、気付くのが早く、誰にも閲覧されることなく情報削除を行えた

基本は「システムアラート」で気付こう

忙しかったり疲れていたりすると「いつもとの違いに気づく」に気付くが難しいため

リスクが発生した場合、必ずシステムアラートが飛ぶように事前に設定しておこう

定期的に「人によるチェック」をしよう

システムアラートは「システム上の検知できるrisk」しか対応していない

忙しいと後回しにしちゃうので、「定期的にやる作業（例：月次経理）」と合わせて実施するのがおすすめ

2. 事故の対応チームをどう組成するか

気付いたら、すぐに対応ができないといけない

事前に「発見次第誰に報連相すべきか？」を把握しておこう

会社の場合「管理監督者」が必ず置かれている

特に個人情報・機微情報の漏洩についてはISMS・Pマークなどでドキュメント整理されているはず

どの事故であっても、「外部向けの謝罪対応」「正常な状態へ戻す作業」が発生したりと組織全体で対応を進めることになる

3. 発生後に「対策」「恒久対応」をどう進めるか

速やかに「対策」と「恒久対応」の方針を立てる

事故発生時はテンパって正常に判断できないので、事前に対応方針を決めておく

定期的に避難訓練をやるのも良い。

5.icon予防・対策・リカバリープランを踏まえて、「それでもこの使い方をするか」の意思決定

リスクは絶対にある

リスクの予防・対策・リカバリーにもコスト（準備の時間・お金）がかかる

コスト払って、リスクを残した上でも「使いたい！」ものなのか？

改めて「なぜこのツール・仕組み・運輸おをする必要があるのか」を整理した上で、チームで意思決定をする