企業秘密漏洩のリスクマネジメント
銀行では起こりえないであろう、と言われていた「行員による裏組織への顧客情報漏洩」が実際に起こってしまったようです。みずほ銀行元課長(51歳)による顧客情報漏洩
昨年2月から3月にかけて、ということですから個人情報保護法施行前の事件ですが、どうしてこのようなことが起こったのか。昨日逮捕された宝塚市長の贈収賄事件と同じく、親しくしていた友人が別件で逮捕されたことをきっかけに問題が発覚した、ということですから、組織の内部管理体制といったものは機能しえなかった、というほかはありません。内部統制システム構築、といいましても、こういった事件の発生を食い止める有効な手段というものはすぐには思いつきません。しかしながら、今後みずほ銀行に及ぶ顧客への対応(クライシスマネジメント)や金融庁による業務改善命令による営業損失などを考えますと、明確な改善方法を検討する必要性もありそうです。
通常、営業秘密漏洩リスクといったものは、漏洩防止規定の策定→「秘密」認識の全社的共有→秘密取扱部署、統括者の特定→秘密認定、保管手順の遵守→物理的セキュリティの確保→運用のモニタリングといったPDCAサイクルを用いるところが多いと思います。
そこで、このみずほ銀行のケースで考えてみますと、秘密(顧客の取引履歴や個人情報)へのアクセス権者であったかどうかがまず問題になりそうです。「本店調査役」だった容疑者の肩書きが、いわゆる内部調査担当だったものかどうかは不明ですが、本来顧客情報にアクセスできる立場であったとすれば、なんら防止策としては機能しえなかったことになります。つぎに、物理的セキュリティにつきましても、持ち出された企業秘密が暗号化されている場合には、容易に譲渡することができないことになりますが、果たしてこのケースではどういったセキュリティが施されていたかは不明であります。ただ、一方におきまして、業務の効率性や予算を考えますと、ただ厳重にすればいい、という問題でもありません。
企業による防衛策といった面とは別に、やはりアクセス権者による漏洩の危険も考えた場合、社員ひとりひとりが「漏洩発覚の可能性とペナルティの厳格化」について認識していただくような啓蒙活動も必要になってくるのではないでしょうか。たとえば、仕事上、プライベート上の付き合いのある友人知人からの頼みごとであっても、今回のように事件が発覚する可能性はあるわけでして、また発覚した際のペナルティが割に合わないものであることまで、十分認識してもらうしか方法がないように思います。社内とは異なり、社外の知人と共謀したうえでの犯行といったものは、内部通報制度によってもなかなか発覚しにくいところが、マネジメントの難しいところです。
| 固定リンク
コメント
経済事犯というのは、「信頼」を裏切って行われる場合が多いように思います。
そうすると有効な対策として「信頼しない」ということが考えられます。
どんな立場の人間でも不正を行う可能性がある、ということを前提として、情報管理システム自体にセキュリティ対策を施す必要があると思います。
その中の重要な対策として、「漏洩発覚の可能性」のアップがあると思います。
例えば、アクセス履歴の保存とその日常的は監視体制の構築などが思い浮かびますが、みずほ銀行の場合はどうだったんでしょうか。
監視する立場の人間も不正を行う可能性があるわけですから、多重監視システムが必要ということになりますね。
投稿: モトケン | 2006年2月 8日 (水) 17時24分
fujiです。
最近わからなくなってきたのですが、そもそも、情報漏洩を防止しなかったことが悪いのか、情報を漏洩したことが悪いのか、その情報を入手したことが悪いのか、入手した情報を利用して何らかの利益を得たことが悪いのか、いずれが一番非難されるべきものなのでしょうか。例えば、登記をみれば暴力団だってある程度の情報を入手できるでしょう。でもそれは普通一般には当然のことと思われていますよね。だから、情報保護よりもそれを悪用したものを厳罰にするような環境にシフトできないのでしょうかね。
投稿: fuji | 2006年2月 8日 (水) 19時08分
山口先生はじめまして。LD事件以降、Blogを拝見させていただいています。
さて、この個人情報保護法における情報保護に関していえば、現代社会のような電子化された世界で顧客情報に関していえば、どのような電子的対抗手段を用いても、複数の社内関係者がこの情報を頻繁に利用しなければいけない限り、あるいは保護手段を生体認証などの手法を用いても、過去の対面(社内外)以上の効果はないと言っていいと思います。
対面の場合は、その場での犯罪行為がばれないかという相互チェック(一番の効果があるのが顔色と呼ばれるもの。現在のセンサー技術からみた場合、2,3桁多い測定点をもっています。)が瞬時に行われますが、社内での電子決済やチェック等が進めば進むほど、人対機械という行為になり、心理的抑制がはたらかないのと、発覚までの時間がかなりある(アクセス履歴にしても犯行が発覚してから初めて履歴チェックされる。)という問題、抑止手段への過信からくる相互チェックのなさ等です。
人の心理面での犯行抑制効果という観点でのこの種の研究(各メーカが情報漏洩での防御策として売り出しているものについてですが。)は少ないですからね。
投稿: 胡桃 | 2006年2月 8日 (水) 19時50分
結構こういう問題って、原始的なというか優れたコンプライアンスプログラムの存在とかとは別のところで原因がある場合が多いと思います。
上司が気に入らないとか、給与体系とか評価体系について原始的な制度が維持されてたり、革新的過ぎる制度が何の疑いもなく誰かさんの鶴の一声で(たいがい担当取締役だったりする)導入されたり・・・。
情報を取り扱うのは結局人だという発想が欠落したところで生徒手帖を作ってると結構こういうことが平気で起こってしまうという・・・。
優れたシステムを生かす人についての人事システムが結局は大事。締め上げるだけではだめなんすけどねえ。
投稿: ろじゃあ | 2006年2月 8日 (水) 22時03分
初めてコメントいたします。タイムリーな話題がきちんと法的に解説されている数少ないブログとして勝手ながら活用しております。
私は銀行員ですが、今回の事件は自分の身近でも起こりうる話であり関心を持っています。(勤務先はみずほ銀ではありません)
みずほ銀HPのリリースを読む限り、流出した情報は支店行員であれば誰でもアクセス可能であり、日常業務に使用されるものです。営業効率との兼ね合いで単純な管理強化も難しいものです。
どこの銀行もかつてよりセキュリティを強化し、相次ぐ流出事故もあって見せしめ的な人事も行われております。しかしペナルティを上回る脅迫や買収があればあっけなく漏洩するでしょう。
そもそも犯罪組織に取り込まれた原因が何だったのか気になります。脅迫されるネタが何かあったとすると社外での行動が問題です。
けれどもプライバシーに踏み込んだ管理や、周りから常に疑われているという心理的プレッシャーはチームワークへが機能しなくなる可能性もあり、これまた組織運営上の難しい問題です。(自分自身もこれはイヤですね)
それにしても事件は容疑者が支店の課長在職中ですが、現所属が業務監査部というのは大事件です。HPの組織図ではここが情報漏洩を監視するセクションと思われますので。
投稿: ケロタ | 2006年2月 9日 (木) 01時48分
皆様、コメントどうもありがとうございました。さっそく、いただいたご意見をもとに、続編をエントリーしてみました。
>胡桃さん ケロタさん
どうもはじめまして。いろいろな情報ありがとうございました。私自身が勤め人の経験がないものですから、こういった社内における常識のようなところが欠落していることがございます。また、いろいろとご指摘いただけますと幸いです。しかし、脅迫されるようなネタがあったというよりも、銀行勤めに限界を感じた、ということですから、その動機は日常ありがちなものであるがゆえになんか恐ろしさを感じました。
投稿: toshi | 2006年2月10日 (金) 01時36分
■割販法改正で登場する個人情報漏えいへの個人処罰
DMORIです。
古いトピからで恐縮ですが、6/11に特定商取法と割販法の一部改正法案が参院可決となり、高齢者への次々販売などの悪質クレジット商法を阻止するようになりそうです。
大いに結構なことです。
もういっぽうの改正割販法では、このところ中国等からのサイバーテロでクレジットカード情報がハッキングされ、クレジットカード不正使用の被害も拡大している中で、情報漏えいに関与した個人の処罰が、いよいよ法制化されたということになります。
また、クレジットカード情報の保護について、情報取扱い事業者にはセキュリティの明確な向上が求められることになります。
カードセキュリティに関しては、VISAやMasterCardなどカードブランドによる国際基準・PCIDSSが日本でもだいぶ知られるようになってきておりますので、セキュリティの法制化と合せて、これも好ましいことと思っております。
さて、今回の改正割販法の条文を読んでいて、まだよく分からない点がありました。
1)クレジットカード事業者が守るべき安全管理の基準は、経済産業省令で定める。(35条の16)
とあるいっぽうで、
2)クレジットカードや割賦販売事業者などによる一般社団法人を、「認定割賦販売協会」として、政令で定めて認定し、その協会が割賦販売やクレジットカード情報の安全管理のために必要な規則を制定する。(35条の18)
と書かれています。
安全管理のルールを経産省が省令で定めるのか、認定した「割賦販売協会」が定めるのか、この条文はどう解釈すればよいのでしょうか?
法務の専門のお立場から、教えていただければありがたいです。
よろしくお願いします。
投稿: DMORI | 2008年6月18日 (水) 08時57分