「GDPR」カテゴリーアーカイブ

GDPR

【読み物】安全保護策とm-SHELモデル

2019-04-20 office-terakawa

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

—

国の法律がどうであれ、データ保護やプライバシーとは個人の権利と自由を守るための活動です。デジタル時代に生きる私たちは誰もが日々、インターネットを通じてSNSや通信アプリ、オンライン・ショップを使用するため、データ・プライバシーとは、わたしたち一人ひとりが自分の自由と権利を確保するための前提条件となります。

プライバシー問題は、いまや新聞や雑誌にのらない日がないほど盛んに話題に上りますが、日本ではお役所や弁護士、一部企業の問題という印象で、市民の問題として捉えている人は少数でしょう。

しかし、個人情報保護は確かに法律で規定されているとはいうものの弁護士が「正しい」「正しくない」を判断するようなものでもなければ、政府が「正しい」「正しくない」「してもよい」「したらいけない」と決めるものでもありません。

この時代に生きる個人としてどのような社会に生きたいのか、自らデザインし規定するのが望ましい姿といえます。専門家は、補助的な存在でしかありません。

今日紹介するm-SHELモデルとは、人が不適合行動（本来望まない結果を招く行動）を選択する原因を分析する手法です。

セキュリティ事故の大半は悪意のある攻撃ではなく人的ミスによるものだといわれています。m-SHELモデルはヒューマン・ファクタを低減するための方法として参考にしていただければと思います。

ミスが発生したとき、多くの人、組織はミスをした本人に原因があると考えます。しかし、調査をしてみると本人だけの問題ではないことがわかってきます。

m-shelモデルでは、そういったミスを犯した本人以外の要因を特定するために、次の可能性を考えます。

会社の方針やルール、作業手順書（S: Software）に欠陥があったためミスを誘導した可能性
使用しているツール、設備(H: Hardware)に欠陥があったためミスを誘導した可能性
温度環境、明るさ、騒音等の環境(E: Environment)に欠陥があったためミスを誘導した可能性
職場環境、上司、コミュニケーション等(L: Live ware)に欠陥があったためミスを誘導した可能性
作業者がS、H、E、Ｌにあわせられるようにマネジメントし、かつS、H、E、Ｌが作業者にあうようにマネジメントする管理が機能していなかった可能性

データ・プライバシーの法的要件でよく出てくる教育をする、認知度向上を行うというのは表面的な対策で、抜本的には上記のような具体的な運営のあり方にまで踏み込んだ対策を行います。安全保護策を適切に実施できているとは、データ・プライバシーの品質向上活動といえます。

工学系では不適合対策を行う際、以下のようなことを考えます。

やめる/なくす（作業自体を無くす）
できないようにする（誤った手順を実施不能とする）
わかりやすくする（覚える必要を無くす）
やりやすくする（肉体的負担を無くす）
知覚可能とする
認識させる、予測させる
安全側で行動させる
能力を身に付けさせる
自分で気づけるようにする
検出する

安全保護策や、サイバーセキュリティでヒヤリハットがあった場合、上記のような視点を取り入れると良いでしょう。

また対策についても、確実な対策になっているのか、持続可能な対策なのか、具体的な対策なのか、他のプロセスと整合したものなのか、実現可能なものなのか、といった点を考慮します。

データ・プライバシーにコンサルタントが関わるべき理由は、上記のような他分野の知見を速やかに導入できるからです。

現代は専門家の時代ではなく知恵の集約の時代です。

ウィキペディア等が行ってきたような、さまざまな知見を共有、集約し、共に蓄積する作業が現実のビジネスでも重要となってきているように感じます。