個人情報流出問題

2023年8月10日

先週は、ベネッセホールディングスから個人情報が大量に流出した事件が大きく報道された。
名簿会社などに流出したのは、同社が収集し管理している、同社の顧客である「子供の個人情報」で、最大2070万件に及ぶ可能性があるという。
この情報を持ち出したのは、同社からシステム保守を再委託された企業で働く派遣社員のSEであった。
情報を持ち出したSE個人の罪が問われるのは当然のこととして、システム保守を委託した企業、および委託/再委託された企業の管理責任も重大である。この事件の背景には、多重請負や労働者派遣という、IT業界に昔からある構造的な問題が潜んでいると感じる。IT業界では、システム開発やシステム保守を、顧客との業務委託契約(請負契約や準委任契約)で実施するケースがほとんどだが、請負先からさらに2次請け、3次請けに発注するケースなど、契約が多階層になっているのが特長である。
さらに最終的に業務を委託された会社の担当者が、派遣社員や個人事業主であるというのも珍しくない。
多重請負と、担当者が派遣社員や個人事業主であること、それ自体が問題というわけではないが、一般にモラールやモチベーションの問題を起こしやすい構造である。(建設業界、例えば福島の除染作業でこの構造に由来するモラルハザードがあったことは記憶に新しい)これと類似した事件が本年(2014年)2月にもあった。
横浜銀行から預金者の口座情報を摂取し、この情報をもとにキャッシュカードを偽造して不正にお金を引き出した事件である。
この事件も内部犯行であった。
容疑者は、ATMを含むシステム保守の再委託先企業の従業員(管理職)であった。
システム開発やシステム保守の現場に従事する末端組織の担当者は、委託元(発注元)企業の社員ではないから、委託元企業に対するロイヤリティはプロパーほど高くない。
さらに委託元企業における情報管理規定など、諸規定やルールに関する知識や理解も十分ではない。
そうであるから、動機付けと教育が重要になってくる。
請負契約や準委任契約が多階層になる場合の問題の1つは、末端に行くほど受け取る金銭が少なくなることである。
例えば、発注先から50万円で委託された企業が、管理費として20%を取ったうえで外部企業に再委託するとする。再委託先が受け取る金額は40万円になる。さらに再委託すると32万年になる。
階層が増えるほど受け取る金銭が減っていくから、末端の作業者に支払う賃金の原資も必然的に減ってくる。
ここで、委託先または再委託先が徴収する管理費を使って、何を管理しているのかが問題である。
管理費の範囲で、担当者のモチベーション管理や、委託元企業の諸規定や行動規範などをきちんと教育するなら問題は少ない。しかし、多くの場合は契約管理や労務管理などの名目で、スタッフ費用として消費しているのではないだろうか。
結果として管理費は取っているが、本来それで管理すべきことを管理していないという事態になっている。これが問題である。今回の事件では、委託元、または委託先のチェック機能にも問題があった可能性がある。
特に端末操作ログのチェックがなされていれば、もっと早期に不正を検出できた可能性がありそうだ。(このあたりは企業のセキュリティの仕組みに関わる部分なので、今後とも詳細は報道されない可能性がある。よって仕組み上の不備があったとしてもその詳細は分からないかもしれない)
IPA「組織内部者の不正行為によるインシデント調査」に面白い調査結果がある。
内部不正の誘発要因や抑止・防止が期待できる対策に関して、一般企業の社員3.000名と経営者・管理者110名にアンケート調査したものである。
それによると、内部不正に対して最も抑止力が高い対策は、
「社内システムの操作の証拠が残る」(54%)である。
しかし、この対策は経営者およびシステム管理者に限定した「現在講じている効果的と考える対策」のアンケート結果では21項目中19位であった。
内部不正に対して有効と考える対策について、管理される側の社員と、管理する側の経営者・管理者の間に意識のギャップが見られることが指摘されている。(管理者が有効と考えている対策が、必ずしも社員に対して効果的な抑止力になっているとは限らない)同調査には、内部不正を働く動機を高める要因に関するアンケート調査の結果も出ている。
それによると、

  • 「不当だと思う解雇通知を受けた」(34.2%)
  • 「給与や賞与に不満がある」(23.2%)
  • 「社内の人事評価に不満がある」(22.7%)

と、組織における待遇面の不満が上位を占めている。
担当者のモラールを高め、それを維持する対策を講じることが大切である。
なお、IPAからは「組織における内部不正防止ガイドライン」が公開されている。


 2019年12月 追記:神奈川県庁の情報流出事件2019年12月、神奈川県庁が使用していたサーバのハードディスク(HDD)18個が、  インターネットオークションサイトで転売されるという事件が起きた。このHDDには個人情報を含む行政文書が記録されていたことから大きな社会問題に発展した。この事件は、オークションサイトでこのHDDを購入した人物からの通報で発覚した。神奈川県がリースしていたサーバーのHDDは、リース契約の終了後、リース元のF社からデータ消去のため専門業者のB社(東京)に移され、今年(2019年)7月から消去作業が始まる予定だった。
しかし、消去作業の前にB社の男性社員がHDDを抜き取って社外に持ち出した。捜査が進むにつれ、男性従業員は毎日のようにHDDを持ち出していたことが判明し、HDDのデータは神奈川県庁に限られていないことが分かり、被害は拡大の様相を呈している。
サーバリース元のF社は、B社と委託契約を結んだうえでデータ消去をB社に任せていたが、データ消去が完全に行われていたのかを確認していなかった(丸投げ状態)。
F社と神奈川県の管理責任も問われる事案である。神奈川県庁情報流出問題の構造は、先に記したベネッセや横浜銀行の情報流出問題と同じである。
多重請負の再委託先で問題が発生しており、本来委託元が果たすべき管理が為されていなかった。再委託先従業員に対する倫理教育やモラール向上策といった課題も同様である。

経営とITの話題のINDEX
経営とITの話題のINDEX

経営とITの話題

Posted by kondo