6/26/2009
顧客情報を持ち出して売却するという事件について進展があり、逮捕、企業への行政処分がなされています。
[参照]
三菱UFJ証券株式会社に対する行政処分について:金融庁
-- 以下、抜粋 ---
| (3)当社における職員への教育・研修は、今回の事案のような意図的な不正行為を防止する観点が希薄であり、とりわけ、大量の顧客情報等を取り扱うシステム部職員にはより高い倫理観が求められるにも関わらず、そうした点に着目した対応が不足していた。 また、情報セキュリティ管理に関する外部委託先職員への教育・研修も、不足していた。 |
私が注目したのは、上記箇所です。
職業人としての 「高い倫理観」 --- どのように対応していけばよいのだろうか? 一般的には、コンピテンシーといわれる各企業における価値観、倫理観を定めたものを周知徹底するということになります。では、この倫理観は、いわゆる 「情報セキュリティ」 の教育において、触れられているでしょうか?情報セキュリティ教育というと、コンピュータの知識、ウィルスの危険性、違反する可能性がある法令など、「被害を発生させない」 という観点での "知識" を得るため内容になっているように思います。倫理観は、情報セキュリティの話をする前段階、つまり人事教育の分野ではないでしょうか?
外部委託先職員への教育・研修 --- 正社員以外への対応の難しさ今回の事件においては、本来は所定の承認手続きが必要にもかかわらず、該当社員の指示のみで職員がデータをコピーしたという事のようです。法の世界では「知らなかった」では済まされず、もし、上長から違反と思われることを指示されたら 「拒否しなければならない」 とされています。雇用形態は分かりませんが、一般的な外部委託先職員 (派遣社員など) は、正社員からの命令に対して、すぐにその場で No と言えるでしょうか?会社のルールを作るのは正社員の仕事であり、時に誰かの権限で "例外処理" が行われるというのも、よくある話です。
武士の時代、築城の秘密が漏れることを恐れ、建設に携わった人が殺されたといいます。現代の世の中で、そんな物騒は話は無いのですが、セキュリティの重要さは変わりありません。武田信玄が 「人は城、人は石垣、人は堀」 と言ったとおり、人への投資を誤ると、大きな事故になるという教訓だと感じています。
事務局長 久保田
6/23/2009
私が住んでいる地域 (区) では、毎日、行政から “防犯メール” というタイトルのメールを希望者に配信しています。内容は、前日に発生した 車上荒らし、ひったくりといった身近な犯罪情報の連絡です。
ほぼ毎日届くので、ほぼ毎日犯罪が発生しているのだと実感することができます。
半年ぐらい前から受け取るようにしているのですが、今日初めて ”振り込め詐欺” が報告されていました。
一部抜粋して、以下に記載します。
---
【発生状況】家族を名乗る犯人から「借金の保証人になり、相手がいなくなった」「借金をした」などと電話を受け、犯人が指定する口座に現金を振り込んだもの。
最近、最も発生が多いのが息子や娘、孫等を装って親族が心配する気持ちにつけこんで、現金を騙し取る「オレオレ詐欺」です。
○「携帯電話が変わった」という電話があったら十中八九詐欺犯人と思いましょう。
○子どもや孫からの電話があったら、本物の家族かどうかを「ペットの名前等」で確認しましょう。(合言葉を決めましょう)
---
いつ自分が被害者になるかもしれないので、心の準備、実際に物理的な防犯などをしておくということは有効です。この防犯メールもそういった事を狙っての啓発活動の一環だと思います。私自身、今日の防犯メールには、ちょっとドキッとしたので、それなりに効果があったものと思います。
ただ、
電子メールで届くので、高齢者が受け取って読んでいるのだろうか?
対策が、ちょっと極端すぎないだろうか?(十中八九犯人って、、)
ということが懸念点です。
こういった社会犯罪が無くならないと、心の平安は訪れないですね。。
事務局長 久保田
6/18/2009
たられば、つまり、~だったら、~すれば、というような仮定の話です。
私はどんどんすべきと思います。たられば論者です。ただし、条件はあります。
「過去の事象は扱わない」
過ぎ去った事を考えても、未来が変わるわけではありません。反省することは大切ですが、冷静に分析すれば良く、そこに仮定の話を持ち込むと収拾がつかなくなります。事実を直視することは、時には痛い事でもあります。そこから逃げていていは前進はありません。
朝令暮改といった言葉があり、外資系企業に勤めていると、そういうことが本当にあります。あまりに反省しないのも、どうかと思いますが、過去を振り切る潔さは時として大切です。
未来についての ”たられば” は、それこそ、リスクマネジメントです。起こりえる事象について可能性を計算し、対策を講じる。
「極端な事は扱わない」
でも、あまりに突拍子のない発想は無用です。
「明日、隕石が衝突して地球が滅亡するかもしれない」確かに、可能性はゼロではありません。ゼロではないが、常識的に考えれば排除できます。隕石が衝突するという正確な情報が不足しているからです。それでも人は、その手の噂に惑わされることがあります。
「明日、xx地方で大きな地震があるらしい」地震は日本人にとって身近であるにもかかわらず、科学的な情報を日常生活から取り入れることができません。明確な否定もできません。明確な肯定もできません。発生可能性が分かりません。
現実的に起こりうるストーリーを、可能性と共に考え検証する。
それは、日常生活、企業活動の中に自然と根付いているものと思います。未来への思考を止めてしまうことは、不測の事態への備えをしないということになります。不測の事態に対して、自分ひとりで全て完結できるのであれば、杞憂すべきことではありません。「どのような事態にたいしても対処可能」と宣言すればよいのです。しかし、全ての可能性を考えずに完全宣言をできるものでしょうか?
答えたくない場合、答えにくい場合はどうすればよいのでしょうか?
「xxx という事態に陥った場合、xxxx ということにならないでしょうか?」
「現在、あらゆる可能性について検討していますが、皆様にお話しできる段階ではありません。」
こんな感じが妥当な回答でしょうかね。
事務局長 久保田
6/17/2009
マイクロソフトは6月締めです。そのため、現在、来季の活動について熟考を重ねています。
既に PDCA サイクルの要である社長レビュー (Privacy President Review) を終え、方針は決まっています。それを、どのように来季の活動に落とし込むかが現状の課題です。
来季は、弊社の核となる新製品もリリースされそうです。新製品が出ると社内は活気づきますし、弊社製品で市場や経済が良くなるきっかけとなれば良いと願っています。
私の業務においては、ただひたすら、淡々と、粛々とコンプライアンスレベルの上昇に向けて注力するだけではありますが。。
ネットワーク技術やインフラの発達で、クラウドコンピューティングの市場が確立されつつあり、競合が激化していくだろうというのも、今後の予測です。扱うデータが中から外になるという点では、セキュリティ分野においても一段の向上が必要となっています。国を超えたときの法令の整備というのも必要になってくるでしょう。最近は、技術は前からあるのだけど、いつの間にか生活に浸透しているということが多いように思います。使う・使わないの最終的な判断は消費者にあると考えています。正しい判断をするには、技術の動向、法令整備の状況を把握していかなければなりません。今後、注意すべき点が出てきた時には、このブログでもお知らせしていきたいと思います。
事務局長 久保田
Tools 
