ある企業のCISOと話をしていたら「データを社外の持ち出されるリスクばかり考えていたら、勝手に持ち込んできた事案が発生して困惑した」とこぼされた。これまで、データを不正に持ち出すケースについては何度も述べてきた。エスピオナージュ的な機密漏えいほど派手でなくても、退職者が顧客名簿や名刺を持ち出すケースは少なくない。しかし考えてみれば、持ち出されたデータはどこかには持ち込まれるはずで、企業として意図せず起きたことなら、これは確かにリスクだ。
そういえば、生命保険会社が出向者経由で顧客情報を入手し、現場の営業活動に利用していたという事案が複数報道されている。企業経営者が意図したというのではなく、業界の慣行に近いものだったらしい。
生保4社情報持ち出し3500件、社会常識外れた行為-顧客不在の競争に - Bloomberg
この件についても、企業経営上どのようなデータが必要で、それはどこにあってどう管理されているのか、廃棄まで含めたライフサイクルはどうなっているのかを、経営者は抑える必要がある。コインの裏表だが、不要なデータがないかどうかというチェックも必要ということだ。
セキュリティ・クリアランス制度の議論の中で、政府の機密情報を民間も「Need to Know」な人には知らせてもらえるとのメリットが強調された。しかし、一方で本当に必要なもの以外は貰わない姿勢も必要だと思った。この場合は保持していること自身がリスクのある情報なので「余計なものは有害」なのだ。
改めてデータの整理を、今は持っていないものについても行うべきだったのだ。しかし今は「AI Agent」が勝手にデータを集めてくる時代(*1)、従業員への徹底と「AI Agent」の教育、どちらが難しいのだろうか?いずれにせよ、経営者は両方に心を砕かなくてはならないようだ。
