バランスの良いセキュリティ対策とは何か
こんばんは。25日に医療情報技師試験(再受検)に備えて、リソースを振っていますので、記事が短めになるのは何卒御容赦下さい。<(_ _)>
さて、今日は横浜市立大学附属病院で起きたメールでの情報漏洩のその後(詳細)についてです。こちらはScanNetSecurityの記事からです。
送信までのプロセスが煩雑だったということが今回のミスにつながったようです。これが全てではないとは思いますが、大きな理由にはなっているようです。
よく言われる「利便性とセキュリティは両立しない」ということですが、どちらかに極端に振り過ぎると失敗するという事例ですね。7payが極端に利便性側に振って失敗したケースですね。(それだけではないでしょうが)
セキュリティを強化し過ぎると、面倒がって使ってもらえない・抜け穴を探すなどして、結果的には「使えないシステム」に成り下がってしまうという事例だなと感じました。
医療機関なので、情報漏洩には特に神経質になっている面はあろうかと思います。「本当に使えるかどうか」という観点は大事でしょうし、こういう風に問題が起きた後に、教育や再発防止対策を強化するという話をよく耳にしますが、そこは個人に帰するのではなく、組織として対策にかかる費用を手当てした上で手を打つべきだと思います。
「もしかすると、CIOがいないor機能してないんじゃないか?」と邪推したくなりますね。(^^;