今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがあります。

「誤操作」は、PC自体の操作ミスのほか、電子メールやFAXの送信ミス、郵送のミスなども含まれます。人間である限り、操作ミスや設定ミスは、どうしても発生してしまうものであり、100％防止することはできません。

PCやモバイル機器（携帯電話、スマートフォン、タブレットなど）、媒体（USBメモリー、CD／DVD、メモリーカードなど）、書類などの持ち出しが業務で増加し、そして小型化・軽量化されていることが、「紛失・置き忘れ」が増えている要因と考えられます。

ヒューマンエラーは、「つい、うっかり」つまり「不注意」です。人間は集中力や注意力を持って物事に取り組むことができますが、それにはもちろん限界があります。それが途切れたときに、起こるのが「不注意」です。不注意により、さまざまなヒューマンエラーの事故が起きているのです。

ヒューマンエラーによる事故は、意外と「ここでミスはしないだろう」というところで起こっています。そんな例として、「徒然草」の「高名の木登り」の段では、木登りの名人の男が、弟子を木に登らせ枝を切らせたとき、高い危険な所では全く注意せず、あと少しという所まで降りてきたときに初めて、「気を付けなさい」と声を掛けます。弟子は「こんな低い所でけがもしないだろうに、なぜ注意するのですか？」と尋ねます。すると、木登りの名人は「目もくらむような高い所では、本人が最大限に注意をするので何も言わない。もっとも危険なのは一見簡単に見える所で、失敗は必ずそういう所で起きる」と言ったのです。

つまり、意外と危険性が少ないと思われる場所で、注意力が途切れ事故が起こるということです。ヒューマンエラーが起こること自体の想定は難しくありませんが、業務のどのようなプロセスや状況で起こるのかは意外と想定が難しいのです。ですから、思い込みでヒューマンエラーの状況や原因を判断してはいけません。結果的に誤った判断となり、さらなる事態の悪化や再発を招くことになります。

ヒューマンエラーの状況や原因は、必ず事実（運用の履歴やログ）から判断しなければなりません。そのためには、日々のさまざまな記録（ログ）の取得が必要になります。つまり、事実を示すログを使って根本的原因を特定・究明しなければならないのです。

情報セキュリティー対策には、王道はありません。地道なかつ適切な日々の運用の積み重ねが大事になります。