顧客情報を持ち出して売却するという事件について進展があり、逮捕、企業への行政処分がなされています。

[参照]
三菱ＵＦＪ証券株式会社に対する行政処分について：金融庁

-- 以下、抜粋 ---

(3)当社における職員への教育・研修は、今回の事案のような意図的な不正行為を防止する観点が希薄であり、とりわけ、大量の顧客情報等を取り扱うシステム部職員にはより高い倫理観が求められるにも関わらず、そうした点に着目した対応が不足していた。 また、情報セキュリティ管理に関する外部委託先職員への教育・研修も、不足していた。

私が注目したのは、上記箇所です。
職業人としての 「高い倫理観」 --- どのように対応していけばよいのだろうか？
一般的には、コンピテンシーといわれる各企業における価値観、倫理観を定めたものを周知徹底するということになります。では、この倫理観は、いわゆる 「情報セキュリティ」 の教育において、触れられているでしょうか？情報セキュリティ教育というと、コンピュータの知識、ウィルスの危険性、違反する可能性がある法令など、「被害を発生させない」 という観点での "知識" を得るため内容になっているように思います。倫理観は、情報セキュリティの話をする前段階、つまり人事教育の分野ではないでしょうか？

外部委託先職員への教育・研修 --- 正社員以外への対応の難しさ
今回の事件においては、本来は所定の承認手続きが必要にもかかわらず、該当社員の指示のみで職員がデータをコピーしたという事のようです。法の世界では「知らなかった」では済まされず、もし、上長から違反と思われることを指示されたら 「拒否しなければならない」 とされています。雇用形態は分かりませんが、一般的な外部委託先職員 (派遣社員など) は、正社員からの命令に対して、すぐにその場で No と言えるでしょうか？会社のルールを作るのは正社員の仕事であり、時に誰かの権限で "例外処理" が行われるというのも、よくある話です。

武士の時代、築城の秘密が漏れることを恐れ、建設に携わった人が殺されたといいます。現代の世の中で、そんな物騒は話は無いのですが、セキュリティの重要さは変わりありません。武田信玄が 「人は城、人は石垣、人は堀」 と言ったとおり、人への投資を誤ると、大きな事故になるという教訓だと感じています。


事務局長　久保田