顧客情報を持ち出して売却するという事件について進展があり、逮捕、企業への行政処分がなされています。

[参照]
三菱ＵＦＪ証券株式会社に対する行政処分について：金融庁

-- 以下、抜粋 ---

(3)当社における職員への教育・研修は、今回の事案のような意図的な不正行為を防止する観点が希薄であり、とりわけ、大量の顧客情報等を取り扱うシステム部職員にはより高い倫理観が求められるにも関わらず、そうした点に着目した対応が不足していた。 また、情報セキュリティ管理に関する外部委託先職員への教育・研修も、不足していた。

私が注目したのは、上記箇所です。
職業人としての 「高い倫理観」 --- どのように対応していけばよいのだろうか？
一般的には、コンピテンシーといわれる各企業における価値観、倫理観を定めたものを周知徹底するということになります。では、この倫理観は、いわゆる 「情報セキュリティ」 の教育において、触れられているでしょうか？情報セキュリティ教育というと、コンピュータの知識、ウィルスの危険性、違反する可能性がある法令など、「被害を発生させない」 という観点での "知識" を得るため内容になっているように思います。倫理観は、情報セキュリティの話をする前段階、つまり人事教育の分野ではないでしょうか？

外部委託先職員への教育・研修 --- 正社員以外への対応の難しさ
今回の事件においては、本来は所定の承認手続きが必要にもかかわらず、該当社員の指示のみで職員がデータをコピーしたという事のようです。法の世界では「知らなかった」では済まされず、もし、上長から違反と思われることを指示されたら 「拒否しなければならない」 とされています。雇用形態は分かりませんが、一般的な外部委託先職員 (派遣社員など) は、正社員からの命令に対して、すぐにその場で No と言えるでしょうか？会社のルールを作るのは正社員の仕事であり、時に誰かの権限で "例外処理" が行われるというのも、よくある話です。

武士の時代、築城の秘密が漏れることを恐れ、建設に携わった人が殺されたといいます。現代の世の中で、そんな物騒は話は無いのですが、セキュリティの重要さは変わりありません。武田信玄が 「人は城、人は石垣、人は堀」 と言ったとおり、人への投資を誤ると、大きな事故になるという教訓だと感じています。


事務局長　久保田

私が住んでいる地域 (区) では、毎日、行政から “防犯メール” というタイトルのメールを希望者に配信しています。内容は、前日に発生した 車上荒らし、ひったくりといった身近な犯罪情報の連絡です。
ほぼ毎日届くので、ほぼ毎日犯罪が発生しているのだと実感することができます。
半年ぐらい前から受け取るようにしているのですが、今日初めて ”振り込め詐欺” が報告されていました。

一部抜粋して、以下に記載します。
---
【発生状況】家族を名乗る犯人から「借金の保証人になり、相手がいなくなった」「借金をした」などと電話を受け、犯人が指定する口座に現金を振り込んだもの。

最近、最も発生が多いのが息子や娘、孫等を装って親族が心配する気持ちにつけこんで、現金を騙し取る「オレオレ詐欺」です。

○「携帯電話が変わった」という電話があったら十中八九詐欺犯人と思いましょう。

○子どもや孫からの電話があったら、本物の家族かどうかを「ペットの名前等」で確認しましょう。（合言葉を決めましょう）
---

いつ自分が被害者になるかもしれないので、心の準備、実際に物理的な防犯などをしておくということは有効です。この防犯メールもそういった事を狙っての啓発活動の一環だと思います。私自身、今日の防犯メールには、ちょっとドキッとしたので、それなりに効果があったものと思います。

ただ、
電子メールで届くので、高齢者が受け取って読んでいるのだろうか？
対策が、ちょっと極端すぎないだろうか？（十中八九犯人って、、）
ということが懸念点です。

こういった社会犯罪が無くならないと、心の平安は訪れないですね。。

事務局長 久保田

たられば、つまり、～だったら、～すれば、というような仮定の話です。

私はどんどんすべきと思います。たられば論者です。ただし、条件はあります。

「過去の事象は扱わない」

過ぎ去った事を考えても、未来が変わるわけではありません。反省することは大切ですが、冷静に分析すれば良く、そこに仮定の話を持ち込むと収拾がつかなくなります。事実を直視することは、時には痛い事でもあります。そこから逃げていていは前進はありません。
朝令暮改といった言葉があり、外資系企業に勤めていると、そういうことが本当にあります。あまりに反省しないのも、どうかと思いますが、過去を振り切る潔さは時として大切です。

未来についての ”たられば” は、それこそ、リスクマネジメントです。起こりえる事象について可能性を計算し、対策を講じる。

「極端な事は扱わない」

でも、あまりに突拍子のない発想は無用です。
「明日、隕石が衝突して地球が滅亡するかもしれない」確かに、可能性はゼロではありません。ゼロではないが、常識的に考えれば排除できます。隕石が衝突するという正確な情報が不足しているからです。それでも人は、その手の噂に惑わされることがあります。
「明日、ｘｘ地方で大きな地震があるらしい」地震は日本人にとって身近であるにもかかわらず、科学的な情報を日常生活から取り入れることができません。明確な否定もできません。明確な肯定もできません。発生可能性が分かりません。


現実的に起こりうるストーリーを、可能性と共に考え検証する。
それは、日常生活、企業活動の中に自然と根付いているものと思います。未来への思考を止めてしまうことは、不測の事態への備えをしないということになります。不測の事態に対して、自分ひとりで全て完結できるのであれば、杞憂すべきことではありません。「どのような事態にたいしても対処可能」と宣言すればよいのです。しかし、全ての可能性を考えずに完全宣言をできるものでしょうか？

答えたくない場合、答えにくい場合はどうすればよいのでしょうか？

「ｘｘｘ という事態に陥った場合、xxxx ということにならないでしょうか？」

「現在、あらゆる可能性について検討していますが、皆様にお話しできる段階ではありません。」

こんな感じが妥当な回答でしょうかね。


事務局長　久保田

マイクロソフトは6月締めです。そのため、現在、来季の活動について熟考を重ねています。
既に PDCA サイクルの要である社長レビュー (Privacy President Review) を終え、方針は決まっています。それを、どのように来季の活動に落とし込むかが現状の課題です。

来季は、弊社の核となる新製品もリリースされそうです。新製品が出ると社内は活気づきますし、弊社製品で市場や経済が良くなるきっかけとなれば良いと願っています。
私の業務においては、ただひたすら、淡々と、粛々とコンプライアンスレベルの上昇に向けて注力するだけではありますが。。

ネットワーク技術やインフラの発達で、クラウドコンピューティングの市場が確立されつつあり、競合が激化していくだろうというのも、今後の予測です。扱うデータが中から外になるという点では、セキュリティ分野においても一段の向上が必要となっています。国を超えたときの法令の整備というのも必要になってくるでしょう。最近は、技術は前からあるのだけど、いつの間にか生活に浸透しているということが多いように思います。使う・使わないの最終的な判断は消費者にあると考えています。正しい判断をするには、技術の動向、法令整備の状況を把握していかなければなりません。今後、注意すべき点が出てきた時には、このブログでもお知らせしていきたいと思います。


事務局長　久保田

何かの不祥事が発生した際の社長の責任は、どの程度なのでしょうか？

まずは、会社法の観点から考えてみることにします。
会社法においては、社長というのは呼称であり、正式な役職名ではありません。ただ、一般的には会社のトップを表し、代表取締役、代表執行役など 、複数いる役員の代表という位置付けです。代表なので、最終的な責任があることからは逃れられないのですが、果たして、代表一人の責任なのでしょうか？
会社法では、取締役や執行役の間で相互に監視する義務があるとされています。つまり、社長一人の横暴であっても、それを察知し、止めさせることが他の役員には求められているのです。これが即ちコーポレート ガバナンスです。

次に、企業の不祥事ということで思い浮かぶのが、善管注意義務です。
善管注意義務とは、「善良なる管理者が払うべき注意義務」のことで、社会通念上、適切と思われる管理を、その職責の下で果たすという意味合いになります。もちろん、犯罪を犯した当本人は刑事罰等が下されるのですが、社長は社員の教育、業務執行・管理の責任を負うというこ とになります。組織であれば、それを全て社長が行うわけではなく、社長の指示の下、管理職がその任に当たるわけですが、該当の管理職がその職務を正しく遂行していないがゆえに、社員の不祥事に至った場合であっても、やはり、その管理職の管理を怠った社長の責任ということになります。
ただし、一般的に考えると、この善管注意義務も理想論ということになるように思います。企業の規模が大きくなればなるほど、社長まで上がる情報というのは少なくなります。受け皿の容量が決まっていれば、チャネルが増えれば増えるほど、そのチャネルから出る情報量は絞らざるをえません。絞らない場合は、会議が増えたり、会議のための会議が増えたりと、逆の悪影響も出てきます。

「今すぐ辞めることで責任を取りたい」「再発防止策を講じて是正することで責任を全うしたい」
さて、どちらが良いのでしょうか？
一つの考え方として、経営判断のミスであれば辞任。そうでなければ、是正するのが責任。というのはどうでしょうか？

大雑把ですが、不祥事が発生した場合で考えると、
A. 予防策を講じていた (十分にリソースを使っていた)
B. 予防策を講じていたが、明らかに不十分だった (一部リソース不足が否めない)
C. 予防策を講じていなかった (リソースはかけていなかった)

A は、継続して経営者として改善をしていく
B は、是正措置を講じ、それが軌道に乗ったら経営者を辞める
C は、経営者を交代し、新しいスキームで立て直しをする

というのが責任の取り方ではないのだろうかと思います。
社長が辞めたら、その他の役員も同罪であろうと言いたいところですが、まだまだ日本では相互監視の必要性が論じられていないように思います。
いずれにせよ、感情論、水掛け論ではなく、経営を見据えた結論が必要ですね。

事務局長
久保田