性弱説

外部からの脅威への情報セキュリティ対策と比較して、内部からの脅威、特に不正行為に対する対策は、仲間を疑っているようで、やりにくいものです。

内部対策には、従来から性善説と性悪説の２つの考え方がありました。
　性善説に立つならば、仲間が不正などを行うはずがない。そのための対策をとることは、無駄であるだけでなく、仲間の相互信頼を減ずることになるので、やるべきではないということになります。対策を講じなければ費用もかからないので、とかく性善説の立場になる傾向があります。
　ところが、残念なことに、機密情報漏洩、架空取引、帳簿改ざんなどの不正行為は多いのが現実です。そうなると、人を見たら泥棒だと思えという性悪説が有力になります（内部統制と性悪説）。これは論理的には正しいかもしれませんが、少なくとも日本の社会での通念に反します。性悪説で情報セキュリティ対策を断行しても、社員は表面的には従うでしょうが、内心は反感をもちます。「情報セキュリティは、各人がその重要性を認識して、自発的に活動することが重要だ」という基本事項が達成できません。
　すなわち、性善説も性悪説も、内部への情報セキュリティ対策に適した考え方ではありません。

性弱説という考え方があります（発案者）。およそ、次のような考え方です。
　人は弱いものです。簡単な操作で不正ができて、しかもそれが露見する危険が少ないとすれば、つい出来心で不正をしたくなりますし、偶然にそのような機会に出会えば、自制するのはつらいものです。
　性善説により情報システムをそのような環境にしておくのは、仲間を誘惑して不正を犯すのをそそのかしているようなことです。かえって、仲間への裏切り行為だといえます。社内対策を行うことは、そのような危険から社員を守るためなのです。また、不正行為が発生したとき、それができない仕組みになっていることが明確になっていれば、容疑をかけられません。
　すなわち、情報セキュリティ対策を講じることは、利用者が安心して情報システムを利用できるようにするための責任なのです。性悪説と異なるのは、悪いことをしようとする気持ちはないのに、誘惑に負けてしまうという弱さに立脚していることです。社員を対立する者としてではなく、保護すべき者だと考えるところが性弱説の特徴です。