テレワーク導入に強い社会保険労務士「労務経営管理のぞみオフィス」

労務経営管理のぞみオフィス

【対応地域】埼玉県、東京都、千葉県、栃木県 (全国拡大予定)

0480-44-8014

電話受付時間 : 平日9:00~17:00 休業日:土日祝

メール対応は24時間受け付けております。

お問い合わせはこちら

内部犯行は恐ろしいーHDD流出事故は他人事ではない

世界最悪級の流出

ニュースで大きく報じられているため、ご存知の方も多いと思います。

神奈川県の所持していた個人情報が流出した事件です。

「なんだこれは…」と絶句 HDD落札男性が見た中身(朝日新聞digital)

私は以前勤務していた会社で、支給してもらったノートパソコンに、前所有者である上司の、…不倫?と思われる温泉旅行のヤバイ写真を発見した経験があります。絶句。いろんな意味で見なきゃよかった。

きっと、通報したHDDを落札した男性の絶句ぶりは、そんなレベルでなかったと想像できます。悪用する気になればいくらでも悪用できる情報がてんこ盛り3TB×3。発電所の設計図?教職員の名簿や勤務評定?うげげ。不倫相手の半裸姿の方が、耽美でむしろ芸術的といえるかもしれない、雪景色だったし。(そんなことはない)。

 

結局、どんなに技術が発達しようと、管理するのは人間。ことセキュリティに関しては決して性善説はとってはいけないのだと改めて思いました。

今回の事件は、神奈川県にサーバリースを委託していた会社(Fリース会社)がデータ消去を再委託していた会社(B社)の社員がHDDを盗みだし、オークションサイトに転売していたという流れです。

官公庁・会社間の取引ですし、契約内容に不備があるわけがない。作業標準や作業仕様書を含む契約書は稟議され尽くし、書面で満点が出たから取引をおこなったのでしょう。しかし、事件は会議室で起こっているのではなく、現場で起こっているのです。ペーパーテストで満点とっても、実技が伴わないとどうしようもない。

今回の事件、もし現場でもっと泥臭い部分があれば、たとえば自らストレージ筐体からHDDを外して物理的な破壊を加えたり、業者に委託する場合はデータ消去の現場に立ち会ったりなどすれば事件は起こらなかったかもしれません。少なくとも廃棄証明書の確認はしないとだめだったということです。

内部犯行を起こさせないために会社がすること

セキスぺ試験でも出てくる、≪不正のトライアングル≫理論によると、①動機②機会③正当化の3つが揃ったときに人は悪事を働くのだそうな。

①動機⇒お小遣い稼ぎしよう
(オークションサイトでの落札総額が1200万円といわれているので、小遣い稼ぎの範疇をとっくに超えていますが)

②機会⇒会社の管理体制がゆるゆるだった
3年前の入社当初から窃盗していたということは、相当ゆるい管理だったことが伺われます。
・受け入れから廃棄まで、管理番号でトレースされていなかった
・受け入れ、データ消去作業、消去した事実確認をする人間、廃棄あるいは再利用のために出庫するのが一人で可能であった(しかも社歴の浅い人間に、その権限を与えていた)

③正当化⇒初期化してデータが見えないからいいや、ただ捨てるのもったいないから有効利用した方がいい、ばれないだろう、とでも思っていたのでしょうか(詳細は今後、取り調べで明らかになることです)

 

会社としての管理体制を考えたとき、やはり「機会を与えない仕組みづくり」をすることがとりわけ重要です。最初からこれは無理、悪いことできない仕組みだと思えば、動機が生まれても実際に行動に走るまでに至らないでしょう。

動機や正当化については個人の資質やそれぞれの価値観、人生観によるところが大きく、一朝一夕に対処するのは難しいでしょう。それでも、従業員教育を通じて会社理念を浸透させる必要はあります。

今回の事件に関して容疑者は「転売したHDDの中に行政文書が含まれるとは知らなかった」と談話したとの報道もあります。データの中身を知ろうが知るまいが、データ消去室の入室管理状況(指紋認証)や、持ち出し防止のため作業着ポケットが縫い付けられていた状況から、少なくとも会社が厳密なセキュリティ管理をしようとしていたのは理解していたでしょう。しかし、足りない部分があまりに多すぎた。

DX(デジタルトランスフォーメーション)推進により、今後ますますデータ活用技術が重要視され、データのライフサイクル管理を安全に運用していかなければならない。お客さんから預かる情報資産を正しく廃棄する、これは安心安全なIT産業の発展の根幹をなす部分です。会社は事業理念としてそのような高邁な意識を絶えず教育していく必要もあります。

(今回の事案は、入数と出庫数の数量突合をしなかった、手荷物検査が不十分であったなどが一次的な原因ですので、従業員教育以前の問題と言えますが)

 

内部犯行は、とにかく恐ろしいです。
いくら不正アクセス検知などしてネットワーク境界防御をしたりしても、内部から簡単に情報を持ち出せてしまうと、被害が甚大でしゃれにならない。

B社の取引先には官公庁や大手企業も含まれており、しかも容疑者は3年前からHDDなど記録媒体の窃盗、オークションサイトでの転売を繰り返していたそうです。その数4000台近くにまでのぼるとか。
今後事件が解明する中で、もし転売された記録媒体からEU在住者の個人データが復元されて流出した、ということになればGDPRによる制裁金を課されるような事態にまで発展するのではないでしょうか。寝た子が起きなければいいと戦々恐々としている企業が、実は多数あると思っています。

セキュリティについては「当社の社員は、そんなことをしない」という意識は捨ててもらわないといけません。ましてや、今後はスマホが当たり前というデジタルネイティブ世代が社内に増えていくのですから、ITリテラシーが高い割に職業倫理が成熟していない社員が中には存在するかもしれません。なんだ、うちの会社は情報管理体制がザルみたいでちょろいじゃん、と思われたら、取返しのつかない事件になりかねません。

倫理観を育み事件を起こさないような社員教育ができていますか?社員のエンゲージメントが高く、そのような事件を起こすことは100%ありえないとまで、確信できますか?

 

確固とした情報管理体制の手始めは、セキュリティポリシーを見直すことです。弊所では、労務管理は社員のエンゲージメント向上を重視し性善説をとり、情報管理は性悪説をとって社内ルールの整備をするお手伝いをする考えです。


(2019.12.26追記)B社の管理体制のまずさは事件以前から2chでスレッドが上がっていたようです。たらればの話にはなりますが、どこかの時点でこのような書き込みについて関与する3者が気付けば事件は起こらなかった、ということが生々しくわかります。

 

無料相談してみる

 

Return Top