セキュリティとコンプライアンス ~ルールが不十分なのか、ルールが徹底されていないのか、ルールを守る気がないのか~

blog

こちらの記事に目を止められた方は、昨今の巷を騒がせている地方公共団体における個人情報漏洩懸念事象について調べられている方かと思います。ニュースで報道によると、今回の事象の論点は山盛り(再委託が禁止されている契約において再々委託されていたということが今のところ判明しています)です。個人情報漏洩懸念事象が、企業間における契約違反をも白日の下に晒してしまいました。それではなぜ、ルール違反は起きるのでしょうか。いったん表題に記載のようにコンプライアンス(法令順守)という言葉を広義の意味で利用し、記載させていただきます。

尼崎市役所のサイトを確認しますと下記のような記載があります。

原因 主に次の3点と考えております。

  1. 受託者は、委託者の事業所外でのデータ処理の許可は得ていたものの、受託者の関係社員個人が電子記録媒体で個人情報データを運搬するという具体的手法についての許可を本市から得ていなかった。また、本市が受託者に対し、持ち出す際に許可を得るべき旨を徹底していなかったこと。
  2. 個人情報データを保存した電子記録媒体を運送会社のセキュリティ便などを使用せず、個人で委託者の事業所外に持ち歩いたこと。
  3. 委託者の事業所外でのデータ移管作業終了後、その場で速やかにUSBメモリー内のデータ消去を行わなかったこと。また、速やかに帰社せず、当該USBメモリーを所持したまま、飲食店に立ち寄り、食事や飲酒をし、結果、USBメモリーが入ったカバンを紛失したこと。

要約すると、受託者は市の事業所外でのデータ処理の許可は得ていたものの、データの種類とそのデータ運搬ごとの具体的方法について許可を得てなかったし、市側は持ち出し時の具体的な手順を制定していなかったこと、および受託者の業務に関するルールの徹底が不十分だったということかと思います。

さて、ルールが厳密に制定されていたら、今回の事象は回避されたでしょうか? 2と3の原因を見てみると、判断が個人に依拠しており、ルールが厳密に制定されていたとしても個人の裁量の範囲が広かったようですので、回避はできなかったのではないかと思います。また、今回の事象をもとにかなり厳密なルールを制定したとしても、その徹底が充分に行われていなければ、実践はされないと思います。

次に、ルールが徹底されていたら、今回の事象は回避されたでしょうか? ルールが厳密に制定されていることを前提として、そのルールが徹底されていたら回避された可能性はあると思いますが、一方で厳密なルールの徹底はその経営層および社員のレベルに依拠しますので、徹底のレベルも多岐に渡ります。ルールの徹底に時間を取られて、そもそもの営業活動や業務活動がおざなりになったとすれば、そもそも経営が成り立たなくなると思いますので、なかなか悩ましいところです。

最後に、社員にそもそも守る気がないので、今回の事象は回避できなかったでしょうか。ルールの徹底と被るところはありますが、ルールを守らないことによるネガティブな影響がない限り、社員はルールを守りません。例えば、人事評価による減俸要因とするとか、重要な仕事を任せてもらえないことによる昇給機会の剥奪というところかと思います。また、ルールを守らなかったことが必ず問題を引き起こすことに直結しないことから、そのような評価体系にすることは今までは行われていないと思いますし、確定した事実がないと評価の客観性や公正性を維持することができないので、なかなか難しい運営を迫られると思います。さらに、上記に記載の通り、会社はコストを削減し、リターンを最大化することを目的としていますから、ルールを守ることがどの程度コストを削減し、リターンを増大させるのかを明確に表さない限り、なかなか具体的に推進することができず、結局はルールを守るという気持ちを確実強化する方法はなかなかありません。

上記の論旨からすると、会社の予算規模にもよりますが、ルールを徹底したいならシステム化するしかないと思っています。そして、それが逆に社員に罪を犯させないこととなり、円滑な経営や人事評価につながると思います。特にセキュリティに関しては、システム化しやすい領域だと思っておりますし、ルールを徹底する時間もシステムの使い方のみで、覚えないと仕事ができないので、ルールを覚えるモチベーションも発生します。

また、仮に意図的にルール違反を画策する行為者に対しても、対抗する手段として利用できる場合もありますから、システム化の検討を一度は実施してみては如何でしょうか。当社では実践的な解決手法として「Blackberry Workspaces」というセキュアストレージを提供しております。

https://www.city.amagasaki.hyogo.jp/kurashi/seikatusien/1027475/1030947.html

https://www.nikkei.com/article/DGXZQOUC288G10Y2A620C2000000/

blog

Posted by Tomozo