●顧客情報持ち出し事件と日本企業にありがちな性善説の発想
第5回は、情報セキュリティについてお話したいと思います。
これは情報セキュリティの一般論についてではなく、事例研究の1として実際にあった事例をモディファイしながらご説明し、その問題点を明らかにしていきます。
それでは、仮にA社としましょうか。社員がだいたい3000名くらいの通信販売会社なのですが、当然、多くの顧客情報を持っています。住所、氏名、電話番号、職業、年収、勤務先、取引履歴などの情報です。
このお話の登場人物はXという人間なのですが、この人はシステム部の課長で、情報管理システムを作っています。このXが、ギャンブルで身を持ち崩して、すごい借金を背負って、日々の生活に窮していると。
ところで、システム部というとやはり重要な部署ですから、その会社ではシステム部員のみがパスワードで入室できる、セキュリティ管理がなされている部屋、作業区域がありました。ここで顧客情報の作業を行っているというわけです。
ところが、このXはお金に困っていましたから、この名簿(個人情報)を売ればお金になると考えました(インターネットを見ると「名簿買います」といった怪しい業者がいますが…)。Xは毎日業務でそこに立ち入っていますから、あたかも通常業務のようにそこで顧客の個人情報を抜き取り、これを業者に売却した、という単純な事件です。
これはもうかなり前の事件ですので、最近はそういうシステム部のところの作業ルームは、ものすごく厳密になってきてはいるものの、(根本的なことは)やはりそんなに大きく変わらないと思います。
当然、これ(Xの所業)はばれることになります。なぜかというと、お客さんから「個人情報が流出しているのでは」と電話がかかってきたからです。こうして事件は発覚し、Xは摘発されました。
あとで調べれば、すぐ分かりますよね。ログを見れば、分かる。実際にはXは別な人間のパソコンをこっそり使って、それを行ったのですが、それは調べれば分かることです。
さて、そこでこのA社は情報管理についての教育や研修をちゃんと実施していたのかを調べてみました。すると、Xは「個人情報保護法研修」というものをちゃんと受けていました。しかも、Xは研修で講義を受けた後、卒業テストで100点を取っていたのです。一体どんな研修だったのか、私は内容を見せてもらったのですが、例えば個人情報と個人データの違いは何かといった、法律の勉強でした。要するに、まったく知識の話をしていたのです。
そこで、私は刑務所にいるXにヒアリングをして、「あの個人情報保護法の研修を受けて、あなたは100点ですよね。こういう研修ってなぜ行われていると思いますか」と聞いたら、「さあ、法律があるからじゃないんですか」ぐらいの答えしか返ってきませんでした。
とにかく何のために研修をするのかということを考えると、情報がいかに大事なものであり、それを持ち出すことがいかに大変なことなのかという、一番大事な当たり前のことが教えられていない。(教えられているのは)知識ばかりです。
ということで、つまり社員は悪さなどしないという前提なのです。 例えば、そこでは「ファックスの誤送信が何件ありました」とか、「メールの誤送信が何件ありました」というようなことは徹底的にモグラ叩きとしてやっているのですね。でも、本家本元、「一番情報を扱う人間が悪事を働くかもしれない」というところに対するけん制がまったくといっていいほどなされていません。つまり、「うちの社員は悪さなんかしない」という性善説に立っているのです。こういった発想は日本企業にありがちなものです。
●最も大事なのは職業倫理とけん制
ですが、たしかにもともと悪い人間でなくとも、何らかの理由で身を持ち崩すということは、人間であれば誰だってあり得るわけです。
そうすると、どうしても目先のお金がほしくなる。あるいは精神状態がおかしくなって、ばれると分かっていても、ついやってしまう。こういったことが常に起こり得るのだという、人間に対するリスク認識をしっかりと持って研修をなされなければいけません。けれども、どうしても研修というものが、「法律の条文、知っていますか」のようなものになってしまっているのです。
ですから、最も大事なことはやはり職業倫理になるだろうと思います。細かい知識だけではなく、「そんなことやっちゃだめだよね、プロとして」というこの部分を強く呼び起こす研修が必要とされています。
それからもう一つ大事なことは、「やっても見つかるぜ」というけん制ですね。
もちろん企業には内部監査等でチェックする体制が必要ではありますが、多くの日本企...