ノーベル賞学者の洞察に基づくサイバーセキュリティ対策

利益を優先する企業は、セキュリティ対策が後手に回りがちです。しかし、ノーベル賞を受賞した行動経済学の考え方を応用すれば、費用をかけずに、この問題を解決できる可能性があります。

リチャード・セイラー教授は、行動経済学分野における洞察が評価され、ノーベル賞を受賞しました。一般的な経済学の理論に反し、人間は金銭に関してけっして合理的な意思決定を行わないが、より良い選択を行うように行動を促すことができる、というのが教授の考えです。彼は、人や組織に特定の行動を動機付けるわずかな働きかけを「ナッジ」という言葉で表現しました。セイラー氏の洞察の適用例で最も有名なのは、401kと呼ばれる米国の年金制度に関するものでしょう。それは、企業が従業員に対して401kへの任意加入を求めるのではなく、会社側が従業員を自動的に登録するよう促す法律でした。この単純な「ナッジ」によって、数千万人ものアメリカ人が老後のためにとっておく資金の額は、劇的に増大したのです。

サイバーセキュリティに関しては、たとえば、大規模な個人情報流出事件を起こした米国の消費者信用情報会社エクィファクスのような企業がセイラー式の「ナッジ」を導入していれば、ずさんなIT業務プロセスを厳格化できたことは明らかだと考えられます。史上最悪のデータ漏洩の一つとなった同社の事件は、管理ソフトウェアのアップデートを怠ったために発生しました。アップデートが行われなかった大きな理由は、そうすべき動機付けがきちんと行われなかったためだったのです。

知的財産やデジタル市場の競争に詳しいNPO、パブリック・ナレッジのサイバーエキスパートで弁護士のメーガン・スティフェル氏は、エクィファクス事件の原因が、セキュリティよりも短期的な利益が優先され、全体的にデータ保護への十分な投資が行われていなかったことにあると指摘しています。

今や、信用情報会社やその他のデータ企業を対象として、安全対策に投資する動機付けを含めた規制を行うべきときが来た、というのがスティフェル氏の考えです。この点で同氏は、石油産業をモデルにできることを指摘しました。石油輸送タンカーは、何らか問題が起きた場合に備えて保険に加入することが義務付けられていますが、保険の適用を受ける条件として、起こりうる問題への予防策を講じることが保険会社から求められるのです。

このようなモデルを応用して、個人データの保管や転送を行う会社に適用する方法を考えるのは難しくありません。このケースでは、保険適用を受けるための必須条件として、「ソフトウェアを常に最新の状態にアップデートしておく」という規定を含めることが考えられます。こうして新しい視点から会社の資産保全に関わるインセンティブを関連付けることができれば、結果として、信用情報会社でも、スマートなサイバーセキュリティ対策が実施されるようになるはずです。

もちろん、エクィファクスのようなデータ漏洩事件への法的な対策としては、他にもさまざまなアイデアが考えられます。それでも、セイラー氏の洞察に基づき、費用面でも有利な「ナッジ」という手法を活用して、信用情報会社の業務慣行を改善することは、最も有望な対策の一つといえるでしょう。

Jeff John Roberts

@jeffjohnroberts

jeff.roberts@fortune.com

この記事はFORTUNEのRobert Hackettが執筆し、NewsCredパブリッシャーネットワークを通じてライセンスされたものです。ライセンスに関するお問い合わせはlegal@newscred.comにお願い致します。