全1978文字
PR

 組織のセキュリティー対策において、ヒューマンエラーによるインシデントを速やかに発見し対処することは重要である。しかし、インシデントが共有されずに重大な事故に発展してしまうことは少なくない。

 また、言葉巧みに人間に近づき、個人情報や組織の機密情報を聞き出す「ソーシャルハッキング」による被害は古くから存在し、現在も攻撃とその被害は絶えない。

 このような問題はなぜ起こるのか。社会心理学者であるロバート・B・チャルディーニは、人間には「6つの脆弱性」があると指摘している。この脆弱性が、こうした問題につながっている。今回は人間が抱える脆弱性と組織のセキュリティーを考えていく。

インシデントの多い組織は本当に問題があるのか

 工業製品における品質管理では、製造ラインにおける欠陥が一定数に抑え込まれているかどうかの指標は重要であり、その指標の目標を設定し改善活動は運用可能である。欠陥数の少ないラインは優秀であり、多いラインは問題があるといえる。

 一方、この「欠陥」を「セキュリティーインシデント」と捉えてヒューマンシステムである会社組織のセキュリティーを考えた場合、インシデントの数は組織の実態を表す指標になっているだろうか。

 事故発生の経験則を示したハインリッヒの法則を当てはめると、1つの重大な事故の背後には29の軽微な事故があり、その背景には300の異常(ヒヤリ・ハット)が存在するといわれている。このため、軽微な事故や異常を組織で共有することが重大な事故を抑止するために重要になってくる。

 インシデントの多い組織は本当に問題があるのか。重大な事故を抑止するための軽微な事故や異常もインシデントとして報告され共有されているほうが、むしろ健全なセキュリティー対策の運営がなされている組織だといえるだろう。もちろん重大な事故が多く発生していることは論外である。

 軽微な事故や異常が真実として少ない場合には現時点では何の問題もない。しかし、軽微な事故や異常が隠蔽されてしまっている可能性もある。人間には、これらを顕在化させない心理的問題があるのではないか。

二重過程理論による直感的な自己防衛

 心理学には、「人間の意思決定システムには2つある」という二重過程理論というものがある。2つのシステムとは、直感や感覚で素早く判断する「システム1」と、論理立てて時間をかけて判断する「システム2」である。

 この2つの意思決定システムにより行動を決定する。もし自分自身のミスやルール違反によってインシデントが発生した場合、この意思決定システムはどのように機能するだろうか。

 システム2で論理的に考えれば、インシデントは速やかに報告し対処すべきだということは理解できる。一方でシステム1で直感的に考えると、インシデントを発生させたことによる罰則や周囲からの評価を気にして共有しないと判断してしまうことがあるのではないか。もちろんシステム2であっても、論理的に考えて自己防衛を優先し最終的に報告しないと判断する場合もあるだろう。

論理的には組織を優先すべきだと分かっているが、直感的に自分を優先してしまうことがある
論理的には組織を優先すべきだと分かっているが、直感的に自分を優先してしまうことがある
(図は筆者が作成)