今回から新シリーズ「えっホント!? コンプライアンスの勘所を知る」をお届けしたい。筆者が「コンプライアンスセミナー」としてさまざまな地方自治体や企業に伝えている内容のエッセンスをユニークな視点で紹介する。企業のコンプライアンス管理者や担当者はもとより、経営者、一般従業員、そして、就職活動している学生や主婦まで幅広い方々にお読みいただければ幸いである。
初回は「コピー用紙の再利用はダメ!もったいない精神の落とし穴」と題して、一部の中高年の方々の行動における落とし穴について解説しよう。
そもそも「コンプライアンス」とは? @IT情報マネジメント用語事典によれば、「コンプライアンス」とは以下のようにある。
企業が経営・活動を行ううえで、法令や各種規則などのルール、さらには社会的規範などを守ること。一般市民が法律を遵守することと区別するために、企業活動をいう場合は「ビジネスコンプライアンス」ともいう。
もともとは1960年代に米国で独禁法違反、株式のインサイダー取り引き事件などが発生した際に用いられた法務関連の用語であるため、「法令遵守」と訳されることが多いが、英語のcomplianceは「(命令や要求に)応じること」「願いを受けいれること」を意味し、近年では守るべき規範は法律に限らず、社会通念、倫理や道徳を含むと解釈される。
ありのままをお伝えするなら、企業の規則や規約(あくまで法令や法律には抵触していないことが大前提)を作成する場合、順守する場合などにおける行動規範と言い換える事ができよう。
筆者は毎年、日本中で幾つもの地方自治体や企業で「コンプライアンスセミナー」を実施しているが、そこで共通してお話していることは、「他人に後ろ指を差されず、正々堂々と行動できるその精神を守り、陰湿な企業による“不祥事隠し”や“従業員いじめ“を排除すべきである」――ということである。どんなに大企業でもこういう根底の部分でしっかりとした教育がなされていないと、数年前に起きた「船場吉兆事件」や「三笠フーズ事件」「雪印事件」のような事態が起こり、企業本体の屋台骨すら腐らせてしまいかねないのである。
紙管理の難しさ 日本ネットワークセキュリティ協会は、毎年「情報セキュリティインシデントに関する調査報告書」を発表している。この最新版の2010年版(2011年8月25日公開)では情報漏洩媒体の種別を次の発表している。
1位:紙媒体(69.4%)
2位:USB等可搬記録媒体(12.4%)
3位:電子メール(6.8%)
紙媒体がその他の媒体を圧倒している。この傾向は統計を取り続けてからずっと続いており、確かにその内容としては「管理ミス」など過失も多いのが事実だ。だが、それらの要因を除いても、やはり脅威であることは間違いない。この「紙媒体」の管理について今回はお伝えしたい。
ある市役所での出来事 とある市役所で数年前に情報漏えい事件が発生した。そのため、専門家がその後の業務フローを分析し、民間企業と比較しても最高レベルの管理体制に変更させたのである。
時代が変わると、昔は許されていた行為が許されない行為として認知されることがある。コンプライアンス的な側面では、例えば、筆者が新人のころ、先輩が新人の女性に対して親睦の表現(?)の一つとして、お尻をポンと叩いていたものだ。しかしその行為は、今では「セクハラ」として決して許されない行為の代表格になっている。
この市役所のケースもそういう典型と言えるかもしれない。今、50代後半から60代以降の方々なら以前では「倹約」や「美徳」として奨励されたものがある。それが「裏紙の再利用」である。オフィスでは大量の紙を使用する。その際に廃棄処分となっている紙を裁断してメモ帳を作り、伝言メモや電話メモとして再利用するものだ。
今の方なら、「人件費の方が高い」「貧乏臭い」といって敬遠すると思われるが、その昔はよくこの作業をさせられたものである。特にコンピュータを直接利用する情報システム部門などは、大量に廃棄処分となる紙を出力していたもので、筆者も新人時代は、1日1時間くらいはメモ帳を作成していた時期があった。
現在はこういう一見すると美徳と思われる行為も、「許されない行為」となった。特に紙が情報漏えい事件の原因となったこの市役所では、例え両面に何も書いていなくとも、紙なら必ずシュレッダーにかける決まりとなったのである。総務部が不定期にトラッシング(ゴミ箱検査)を行い、コピー用紙がゴミ箱の中にある場合は指導するようになった。
だが、周囲が急速に変化している時でもなかなか変化に対応できない人が必ず出てくる。それが、このケースでは定年間近のある職員であった。警告を2回もメールで受けながら、なかなかその変化に対応できなかったのである。
萩原
既に2回も警告されています。裏紙を使うのはもう止めてください。
職員
私は高校を卒業して40年以上にも渡り、真面目に仕事をしてきた。初めて私が先輩から褒められた仕事が裏紙で作成した「メモ帳」です。この作業を今さら環境が変わったからといって止めるのは……。
萩原
市役所での情報漏えい事件について、詳しくお聞きしていますよね。このままでは誠に申し訳ないのですが、懲戒免職となり退職金も貰えなくなってしまいますよ。あなたのお考えは理解できますが、明らかに現在の状況としては極めてまずいです。たった1人のために同じことが起きれば、市役所全体の責任になってしまいます。もし今後も警告を無視されるのであれば、双方にとって悲劇が待っています。“昔の良き時代”はもうありません。再度お尋ねします。まだ、あなただけこの行為を続けますか?
職員
(しばらくの沈黙の後)分かりました。確かに紙情報の管理は大変で、職員が一丸となり意識を高め、この危機を乗り越える必要があると感じていました。今後は必ずシュレッダーにかけるように努めたいと思います。
こうして、やっと協力を得ることができた。若い職員の中には、つい、コピーミスした用紙を使ってしまっていたケースもあったが、中高年者の意識が高まるにつれて、その意識が確実に若い方々に浸透していったのである。
読者の中には、「なぜ、まったく記載のないコピー用紙もシュレッダーにかけないといけないのか理解できない」と感じるかもしれない。しかし、実際の問題として一番に大きな脆弱性は「人間」そのものなのである。
もしこの規則において、「ただし、コピー用紙でも両面をよく確認して文字や図の記載が一切ないと認められる場合にはその限りではない」と規則を変えればいいと考えるのであれば、それは、机上の空論と言うしかない。なぜなら、コピー用紙の両面に文字情報や図や写真などの掲載がなければと人間が判断する――そういう例外規定を設けると、それだけでこの規則は“ざる”になってしまう危険を生じてしまう。
なぜなら、「私は確認した。でもたまたま確認漏れで文字情報があっても分からなかった」とか、「多忙ゆえに、確認したつもりでもついつい見落としがあったのだと思う」といって、逃れる人が後を絶たなくなってしまう事態が起こりかねないのだ。そうやって再び情報漏えい事件が発生しても、「仕方なかった」と言い訳するのは明らかだからである。コピー用紙なら例外は認めない。それが運用上最もシンプルだし、人間が確認するという行為は、市役所全体として考えると相当な作業時間のロスになってしまうことも関係してくるのである。
読者の所属する企業や地方自治体、組織でも、ぜひこうした取り組みを検討してはいかがだろうか。
◆萩原栄幸一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント(システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名)として活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
(ITmedia「えっホント!? コンプライアンスの勘所を知る:コピー用紙の再利用はダメ! “もったいない精神”の落とし穴」より)
個人情報はこうして盗まれる―驚くべき手口とその対策クリエーター情報なしベストセラーズ
デジタル・フォレンジック事典クリエーター情報なし日科技連出版社