●顧客情報持ち出し事件と日本企業にありがちな性善説の発想
第5回は、情報セキュリティについてお話したいと思います。
これは情報セキュリティの一般論についてではなく、事例研究の1として実際にあった事例をモディファイしながらご説明し、その問題点を明らかにしていきます。
それでは、仮にA社としましょうか。社員がだいたい3000名くらいの通信販売会社なのですが、当然、多くの顧客情報を持っています。住所、氏名、電話番号、職業、年収、勤務先、取引履歴などの情報です。
このお話の登場人物はXという人間なのですが、この人はシステム部の課長で、情報管理システムを作っています。このXが、ギャンブルで身を持ち崩して、すごい借金を背負って、日々の生活に窮していると。
ところで、システム部というとやはり重要な部署ですから、その会社ではシステム部員のみがパスワードで入室できる、セキュリティ管理がなされている部屋、作業区域がありました。ここで顧客情報の作業を行っているというわけです。
ところが、このXはお金に困っていましたから、この名簿(個人情報)を売ればお金になると考えました(インターネットを見ると「名簿買います」といった怪しい業者がいますが…)。Xは毎日業務でそこに立ち入っていますから、あたかも通常業務のようにそこで顧客の個人情報を抜き取り、これを業者に売却した、という単純な事件です。
これはもうかなり前の事件ですので、最近はそういうシステム部のところの作業ルームは、ものすごく厳密になってきてはいるものの、(根本的なことは)やはりそんなに大きく変わらないと思います。
当然、これ(Xの所業)はばれることになります。なぜかというと、お客さんから「個人情報が流出しているのでは」と電話がかかってきたからです。こうして事件は発覚し、Xは摘発されました。
あとで調べれば、すぐ分かりますよね。ログを見れば、分かる。実際にはXは別な人間のパソコンをこっそり使って、それを行ったのですが、それは調べれば分かることです。
さて、そこでこのA社は情報管理についての教育や研修をちゃんと実施していたのかを調べてみました。すると、Xは「個人情報保護法研修」というものをちゃんと受けていました。しかも、Xは研修で講義を受けた後、卒業テストで100点を...
