今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと思われるかもしれません。しかし、企業に脅威をもたらす行為であることに変わりありません。そして、内部不正と同様かそれ以上の被害をもたらすこともあります。

「ルール違反」で、多いものの一つが「怠慢（怠惰）」呼ばれる行為です。怠慢行為は、組織で決めたルールや手順を「面倒だから」とその通りに実施しない、というものです。会社で決められた方法や手順の通りに廃棄しない（書類やメディアをシュレッダーで処理せず、ごみ箱に捨てる）、決められた桁数や複雑性のパスワードを設定しない（もしくはパスワード自体を設定しない）などがその例です。

対策としては、ルールに基づくモニタリングと監査の徹底、その上での教育が重要になります。

前回取り上げた内部不正をする者は、「（行為が）見つからないだろう」と考えて不正行為に及びます。それに対し、怠慢行為をする者は「（ルール通りに実施しなくても）見つからないだろう」と考え、決められた通りのルールや手順で実施しないのです。つまり、モニタリングと監査が徹底していなければ、内部不正も怠慢行為も減らないのです。「見つかるかもしれない」と思えば、不正行為を思いとどまったり、面倒でもルール通りに実施します。つまり、これが内部不正やルール違反に対する抑止となるのです。

そして、ルール通りに確実に実施できるように教育を行います。ルールの教育をする場合は、規程や手順書を読み上げるだけでは意味がありません。なぜルール通りに実施しなければならないか。つまりルール通りに実施した場合のメリット、またはルール通りに実施しなかった場合のデメリット（どんな被害や影響が想定されるかなど）を、必ず説明しましょう。対策の方法や手順が分からなければ「面倒くさそうでやりたくない」と考えてしまうのです。そのメリットやデメリットが分からなければ「だったら、別にやらなくてもよさそうだ」と捉えられてしまい、怠慢（怠惰）行為につながってしまうからです。ただし、モニタリングと監査をしていても、チェック機能が不十分だったり、あるいは想定しやすかったりと、「形骸化」している場合は効果がありません。