正しいアクセス制御には、アクセスする先のレベル分けのほかに、その人が本当にそのレベルにアクセスしてよいのかという担保が必要になります。つまり、アクセス元への信頼です。面接は、単純に業務に必要な能力を見るだけではなく、信頼できる人であるのかを確認するプロセスでもあります。一般企業であれば、従業員はみな家族であり、みんな信頼すべきという考えに落ち着くかもしれませんが、政府や国家組織では致命的です。
クリアランスとは、特定のレベルの情報を提供するに値するか、信頼できるかどうかの正式な決定です。このクリアランスにより、組織の機密情報や重要な資産を保護するために、適切な権限を持つ人だけがアクセスできるようになります。 一般的にこれは、面接を含む経歴確認で達成しようとします。例えば、麻薬や債務の経歴を確認したり、倫理的に違反する行動があるかや、個人的な秘密を持っていることで、他の人から恐喝しうる可能性があるかなどが加味されます。勿論、個人の利益・権利を削ぐように追求し過ぎることや、将来へのリスクを考えすぎることによって、差別的な評価基準を設けることにつながる可能性もあるため、昨今では扱いが難しいところではあります。ただ、どのように判断するかと言うのと、判断しなければならないというのは違いますので、覚えるようにしましょう。
また、入社後もセキュリティ意識向上のためのトレーニングを提供し、クリアランスに伴う責任を理解させます。そして、定期的にクリアランスを見直し、継続的な適格性を確認します。
主体がそのデータを持つに十分な体制が整っているのか