本社でもとうとう、社内ネットワークからのWebアクセスに制限をかけることになったようだ。
非常に広範なジャンルを一括フィルタし、「仕事に関係なさそうな」サイト全般をブロックする。
どうやら、こうするに至った背景にはプライヴァシーマークによる個人情報保護の絡みと、業務の効率向上という名目があるらしい。が、本当に効果あるんだろうか。

個人情報の流出に関して言えば、これで防げるのは精々「意図せぬ流出」だけで、本当に内部情報を意図的に漏らそうと思ったらUSBメモリに入れて持ち帰るなり暗号化したファイルとしてメール添付するなり、いくらでも方法はある。紙でコピーするのだって防げない。そこまで徹底するなら全PCをシンクライアント化してローカルへの保存を不可能とし、外部メディアへの書き出しも印刷もすべて許可制にするしかない。
むしろ情報漏洩を防ぐなら、漏洩しようと思わないような教育や社の体制*1をどうにかした方がいい。

業務効率の向上に関しては更に難しい。確かに「業務時間内にインターネットで遊んでいる」「会社の回線を私的に利用する」という状態は大半防げることになるわけだが、それで業務効率が向上するかどうかは別の問題だし、直接業務と無関係に思えた情報が後に仕事に結び付くようなことだって珍しくない。
まあ会社の大半を占める営業部署・管理部署では必要ないことなのかも知れないが、開発部署ではむしろ外部同業者とのコミュニティへの参加が問題解決の早道であったりもする。そういうことを無視して一括制限というのはちょっと現実的でない。

そもそも情報漏洩云々は予防的措置で、「発生した時のリスク」と「予防にかけるコスト」のバランスで決めるべきものだと思うのだが、どうも上が最悪の結果しか見ていないようであるのが気にかかる。