結城　マネジメントシステムを構築する上で、性悪説を避けて通れないとする考えは、昨今の情報漏えい事故において、内部流出の比率が80％に迫る実態からして当然かとも思えるのですが、先生はこれに異を唱えていらっしゃいますね。

荒川　異を唱えると言うと語弊がありますね。正社員が従業員の８割以上を占め、就職から年金がもらえるまでを保障されていたような、会社そのものがファミリーだった時代のように、十全の性善説で会社の運営ができなくなってきていることを否定しているわけではありません。性悪説に基づいて対策を立てることも、もちろん必要です。
ただ、��起きてはならないこと�≠ﾍ、悪意によって故意に起こされようが、一生懸命やったにも関わらずウッカリ
ミスであろうが��起きてはならないことが起きた�≠ｱとに変わりはないでしょう？

結城　確かに一生懸命やった結果情報が流出したのだから、悪意は無いのでやむを得ないというわけにはいきませんね。

荒川　ＩＳＯ27001に従うなら１３３の要求事項があります。それをチェックポイントとして念頭に入れてリスクアセスメントを行います。
リスクアセスメントでは、その情報が漏れる可能性を認識して、悪意があって持ち出そうとする事態も、ミスによる漏洩も、いずれも防げる
体制を多方面、多段階で考えます。

結城　なるほど、確かに欧米人のように割り切って物事を考え辛い日本の組織では、性悪説で話を進めると、どうも陰鬱な雰囲気になりがちだと感じることはありますね。むしろ日本人の不得意な分野だからこそ、あらかじめ
要求事項が定められたＩＳＯ27001は、やるべきことから目を逸らさず、リスクを漏れなく見つけるための便利な
ツールだという見方もできますね。

荒川　さらに、自然災害からも、ハードウェアやソフトウェアの異常からも、護りきり、経済性も考慮した最適解を
自社に導入できれば、国際的に通用する防御力を持った企業として生まれ変われます。本来なすべきことをなすのですから、達成感が得られないなどという意見もきっとなくなるでしょう。

結城　ISMSを社内マネジメントとして定着させる必要性と同時に、阻害要因やさまざまな課題を、意外な角度からご説明いただけたことは、分野は違いますが、セキュリティを専業としている立場として、とても参考になりました。本日は、ありがとうございました。

［掲載の内容に関して一切の引用、無断転載を禁じます］