企業秘密漏洩のリスクマネジメント(その2)
(10日午前 追記あります)
元モーニング娘。の加護チャンが深夜レストランでの喫煙シーンを撮影され、プロダクションは本人の番組降板を含む謹慎処分を決定し、「管理不行届を猛省している。今後このようなことのないよう、十分管理監督いたします」と発表しました。さて、本人を管理監督する、とはいったいどういったことを今後加護チャンになさるのであろうか?
一昨日、エントリーいたしましたみずほ銀行元課長の企業情報漏洩の件での逮捕を受け、みずほ銀行は同様の文章で今後の内部管理体制の強化を誓約しております。コメントをいただいたケロタさんのおっしゃるとおり、この方は前職(つまり犯行時)こそ営業店に勤務されていたものの、現在の職務が本店の内部監査室(組織図によりますと)調査役(ひょっとすると、本当に機密漏洩などを監視する部署かもしれません)、ということでありまして、みずほ銀行においては、そのショックは計り知れないものではないでしょうか。みずほ銀行の内部管理体制への取り組みなどを読んでおりましても、おそらく金融機関としての日本で最も高い水準にある内部監査体制を保持しているものと思われますし、そういった体制をもってしても、営業店舗における顧客との癒着、犯罪への加担、コンプライアンス体制への意識の希薄化といったものは回避できないところがあることを物語っているようです。そういったことを考えますと、さきほどの加護チャンと同様、これ以上に内部管理体制を強化するって、いったいどういうことをされるのか、具体的に教えていただきたいところであります。
ろじゃあさんがコメントくださったように、どうもきょうあたりの報道によると、行内にいても、先が知れてるということで、このフロント企業の代表者といっしょに事業を始めたかったようでして、行内における人間関係あたりが、内部管理体制などとは別次元で犯行の動機になっていた可能性もあるようです。(あくまでも報道内容が真実ならば・・・ということですが)ただ、それであってもいきなり顧客1200名分の情報を700枚のコピー用紙にプリントアウトして、社外に持ち出すという行動は、かなり異常と思われますが、どうなんでしょうか。金融機関の営業店舗であれば、誰でもこういった情報はアクセス可能であり、また紙ベースもしくは電磁的方法による複製作業といったものが日常茶飯に行われているとしたら、もはや対処の方法もなく、たまたまフライデーされた加護チャンの喫煙のように、見つかったのは運が悪かっただけで、どこでも流出している、といった状況になってしまってるんじゃないでしょうか。よくよく自分の仕事を振り返ってみますと、コンプライアンス委員会の委員などの提案でも、こういった事態が発生して、「さらなる内部管理体制の向上策」の考案といったものは、実は経営陣の監視義務違反にならないような方策、つまり「後ろ向きのコンプライアンス」であって、本当に会社のレピュテーションを低下させないことを目標とした「前向きのコンプライアンス」を目指しているのか、自信がなくなるときがあります。
そういった面においては、胡桃さんがコメントでご紹介いただいているような、先進技術を利用した犯罪抑止効果のある機械に頼りたくなる気持もわかります。また、アクセスに際しての情報共有化を進めて、コピーはかならず複数人によって行うような業務執行体制をとることなども検討されるところです。しかしながら、こういった運動を行内で進めるとなると、本当に社内における行員のストレス悪化につながる危険性もあるんでしょうね。一昨日のエントリーでは、私は行員の「犯罪発覚の容易性に関する認識」が抑止効果を持つのではないか、とも述べましたが、実は今回の件では、どうもフロント企業の役員ということは知らなかったようでして、純粋に企業情報を持ち出して、今後の事業に役立てようと考えていたようです。競争相手への企業情報の譲渡につきましても、業務上横領だけでなく、不正競争防止法の改正などによりまして、ずいぶんと罰則が強化されておりますので、その目的如何にかかわりなく、情報漏洩に対しては企業がキビシイ態度で臨むことを行員に周知徹底する以外には防ぎきれないのではないでしょうか。(そういった意味では、fujiさんがコメントされているように、厳罰化によって防止しなければいけない部分もあるかもしれませんね)あとは高額の予算導入による営業店舗のシステム変更以外にはありえないように思えます。こういった犯行をやろうと思えばできるけれども、おそらくすぐに発覚するであろうから、やっぱりやらない、と思えるようなシステム、そういったものが各企業の業務プロセスを見直すなかで、ひらめくかどうか、情報保護の安定性そのものが商売道具である金融機関にとっての大きな課題だと思います。
(2月10日午前 追記)
朝日新聞ニュースとして、秘密漏洩罪の罰則強化に関する個人情報保護法改正案原案が作成された旨の報道がありました。今国会に提出されるかどうかは、今後慎重に判断する、とのことです。この罰則強化の流れというのは、私の上記意見と同じ趣旨かと思われますが、今朝、コンプライアンスプロフェッショナルさんより、詳細なコメントを頂戴しておりますので、対応策のひとつとして検討してみたいと思います。相手が「フロント企業」ということですと、コンプライアンスプロフェッショナルさんのように、いくつかの対応パターンもあるかもしれません。企業としましては、社員個々の不祥事といったものは「常にありうる」と認識したうえで、リスクを最低限度に抑える手法も検討すべきでしょう。ただ、私も経験がありますが、各企業で発生しうる不祥事リスクを洗い出せと指示しても、簡単に洗い出して、対応策を創造するのはムズカシイです。どうしても日々の業務に追われて、後回しになってしまいがちです。担当者が頑張ろうしても、現場がなかなか協力してくれないこともあります。こういったところにも、企業トップもしくは担当取締役の熱意の有無が影響する、というのが実感ですね。
| 固定リンク
コメント
山口先生、ご無沙汰しております。
この件については、私は、以下のように考えております。
1.内部管理態勢とか、内部統制システムを強化しても、それはあくまで、不祥事防止のための合理的保証でしかなく、今回のような地位を活用した明らかな故意の場合やヒューマンエラーの場合には、事案の発生を完全にシャットアウトできるわけではありません。
企業の危機管理的な視点からは、人の要素、具体的には従業員の心の問題にもきちんと取り組んでいく必要があります。メンタルヘルスケアという形で、鬱や自殺の部分は取り上げられても、それ以外のメンタルロスに着目されることはあまりありません。
しかし、情報の故意の持ち出しや、2ch掲示板への誹謗中傷の書き込みは、多くが社内の従業員によって行われます。この原因は、大きく二つに分けられ、一つはお金の問題(個人的にお金が必要)、一つは会社に対する不満(評価や将来性、給与への不満など)が上げられます(あくまで大きく分類した場合ですので、その点ご了承ください)。
日々の従業員管理の中で、これらの兆候をいかに把握し、いかに管理し、緩和していくか、これが終局的には企業に求められる危機管理手法となります。
例えば、お金に困っているのであれば、サラ金らしき会社から電話がきているとか、お金のことばかり気にする言動がある、社員から借金があるなど、必ず兆候となって現れています。
また、会社に対する不満は、仕事への取組姿勢が変わった(覇気がなくなる、仕事の内容が雑になるなど)、突然時間ぴったりに帰るようになった、遅刻や早退が増えた、できて当たり前の仕事ができない、社員に対して愚痴をこぼし仲良しグループ的な集団を形成して慰めあっている、などの兆候が見受けれらます。特に、企業で働く従業員管理のポイントとしては、マズローの欲求5段階説でいう、承認・評価欲求を満たすことが重要だといわれております。承認・評価欲求を満たすというと、昇進させるか、昇給させると短絡的に発想しがちですが、このような兆候が見られたら、飲みにでも誘ってお酒を飲ませて、愚痴や不満を言わせ、それを聞いてあげて、また翌日以降の業務の中で、愚痴・不満の一部にでも配慮してあげる、そしてこれをタイミング等を見ながら繰り返していくだけでも大分違ってきます。
最後は、そこで働く「人」をどのように管理するか、マネジャーとして、リーダーとしての役割が重要になってきます。これなくして、企業の実効的な危機管理はありえないと言ってもいいでしょう。
2.次に、態勢構築に際しては、クライシスマネジメント態勢の構築も不可欠です。先日の監査役と会社法施行規則の中で、先生も問題提起をしておりましたが、究極の危機管理、リスクマネージメントは、クライシスマネージメントとであり、これなくして「損失及び危機の管理」はありえません。損失を最小限に食い止めるためには、クライシスマネージメントが重要であり、その意味で、態勢作りは不可欠といえます。
先日発表された、JIS Q15001:2006案、いわゆる個人情報保護に関するマネジメントシステム(プライバシーマークの認証規格)でも、新たに緊急事態対応の項目が設けられ、企業として緊急事態対応態勢を整えていなければ、少なくともプライバシーマークは取れないという案が提示されておりますが、これなども、このクライシスマネージメントの重要性・必要性を裏付けるものといえるでしょう。
今回、みずほ銀行のクライシスマネージメントの初動は成功しておりますが(株価も上がっています)、今後の対応如何によっては、企業イメージを著しく損ねる可能性があり、今後の動向を見ていく必要があるかと思います。
3.最後に、今回のフロント企業の元調査役への接触の仕方は、新聞報道等を見る限り、フロント企業や暴力団関係者が用いる古典的・典型的な手口の一つです。
フロント企業が、企業や企業の役員・幹部を取り込み、利用しようとする場合の典型的な手口は2,3あり、それらを理解し、警戒しておくだけでも大分違ってきます。彼らは、かなり巧妙に企業や役員・幹部を取り込み、利用してこようとします。
それにも関わらず、企業の役員様は、フロント企業の手口をあまり知らず、事実上防御できない形になっております。顧問の弁護士さんによっては、このあたりまで指導される方もいらっしゃるようですが、そのような弁護士さんが、それ程多いとは思えません。
しのぎといわれる彼らの手口は相当なものがあります。今回の件を機に、日本の多くの企業で、役員様・幹部様を中心にフロント企業の怖さや手口を十分にご理解いただき、今後企業防衛・自己防衛を尽くしてほしいと切に願っております。
以上、朝から長くなって申し訳ございません。
投稿: コンプライアンス・プロフェショナル | 2006年2月10日 (金) 10時03分
>コンプライアンスプロフェッショナルさん
いつも参考となるご意見、ありがとうございます。フロント企業の手口といった部分は興味あります。実際に私と違って、毎日こういった企業相談をされている方の立場からすると、私は教科書的な意見しか申し上げられないですし、本文にも書きましたように「後ろ向きのコンプラ対策」を相談されることが多いので、素人的な発想になってしまいますが、このたびの漏洩された情報というのは営業店舗では誰でも容易にアクセス可能なもののようですし、ひょっとすると契約社員の方々でも入手することは可能なんではないか、と思ってしまいます。そういったところまで、漏洩を防ぎきるような対応方法といったものは考えられるのでしょうかね。労働形態の多様化は、企業再編問題と同様に、今後の企業活動の効率性を担う部分だと思いますが、内部統制といった面からみても非常に対応が難しいところです。労働意欲に影響を及ぼさない手法で、かつ価値ある機密を防衛していく手段を提案する、というのも、これからの立派なビジネスモデルになりうるような気がします。
また、ご教示よろしくお願いします。
投稿: toshi | 2006年2月10日 (金) 11時01分
山口先生、お忙しい中、早速のレスポンスありがとうございます。
1.先ず、追記されていました、不祥事リスクの洗い出しについてですが、ここで、役立つのが、いわゆるヒヤリ・ハット事例集です。これをプロジェクトチームや社内研修時、定例の社内会議等で抽出しておくという方法があります。
あるいは、企業に寄せられたクレームや苦情を分析・分類することで、起こり易いヒューマンエラーや事故が抽出できます。
確かに、1から10まで全てを洗い出すことは不可能ですので、主要なものを上記手法等で先ずは、洗い出す(実行する)ことが重要だと思います。
これは内部統制のリスク評価でも関係してきますが、よくリスクの抽出・分析について、複雑な数式を用いる手法が紹介されますが、あれこそ学問的分析であり、企業の現場にはなじみません。
これが起こり易い、この事象が起こる確率は経験則上、これくらいの確率という主観的な統計学でいいのです。一番大事にすべきは、社員一人一人の経験であり、リスク感性なのです。統計学においても官能的統計とかベイズ推定のように主観をベースとした統計学がありますが、これを用いて十分対応可能です。
ですから、何よりも、実施することが重要になります。先生もおっしゃっていますように、役員等が機会を見つけて、ヒヤリ・ハット事例をこつこつと集める、これが一番大事です。
2.そして、洗い出しから漏れていた事象が発生したとしても、クライシス・マネージメントの手法が確立されていれば、慌てることはありません。実施するプロセスはほぼ同じです。ステークホルダーが代わってきますので、それに合わせてプレス等の部分で配慮が必要ではありますが、これも難しく考える必要はありません。調査、対応のプロセス事態は変わりません。
3.労働意欲をそがない形でのマネジメントや仕組み作りについては、組織論や社会心理学等を研究し、コミュニケーションの機会を作ることが重要です。前回のブログでも指摘されていたように、人と人による牽制が効果的ですので、先ずはコミュニケーションの機会を作ることが重要です。
これについては、報告・連絡・相談に関する体制作りの中で、手法やスキルも含めて、企業のレベルに合わせて構築していく必要があります。報告が上がってこないと嘆く企業が多いですが、これなども報告・連絡・相談に関する意識や仕組みに不備があることが多く、このあたりを徐々に改善しながら、情報の流れを円滑にし、コミュニケーションの機会を作り、それによって人と人の接触をおおくして、モチベーションのアップやメンタルケア等を実施していくことになります。
4.ただ、やはり一番重要なのは、自分も含めた「人」が介在している以上、事故・事件は必ず起こる、しかも現場で起こることが多い(踊る大捜査戦の織田さんではありませんが・・・)ですので、それを前提に予防に努めつつ、起きた場合は、誠心誠意反省謝罪しながら、やるべき対応(クライシス・マネージメント)を実直に行うことだと思います。
起こさないという姿勢では、起きたときに慌ててしまいます。いつかは起こると思っていれば、起きたときも慌てずにすみます。
逆に考えれば、ビジネス法務、危機管理的視点で考えれば、日ごろからやっておくべきことは非常に多く、考え方や対立利益、ステークホルダーの状況なども常に考えておく必要があります。先生のブログで、これだけ多くの皆さんで、意見やノウハウを共有することこそ、大切なのであり、今後も先生始め、皆さんの意見を拝見させていただきたいと思います。
投稿: コンプライアンス・プロフェショナル | 2006年2月10日 (金) 12時33分
fujiです。
少し誤解されたかもしれませんが、私が申し上げたかったのは、情報保護にそれほどコストをかける必要があるのか、ということです。今回漏洩された情報が如何ほどの価値があるのか分かりませんが、実はゴミのような情報でも保護をすればするほど機密のように思えてきて、世の中ヒステリになり過ぎて身動きがとれなくなってしまっていますよね。そんな世の中をどうにか方向転換できるようにならないものかと思うのです。コンプラの観点からはズレてますが・・・。
投稿: fuji | 2006年2月10日 (金) 23時23分
>fujiさん、こんばんは。
なるほど、そういった意味だったんですね。
情報保護へかけるコストといったものは、確実に下がっているのではないでしょうか。昨夜のニュースでも、個人情報漏洩保険の保険料が2割から3割安くなるそうで、昨年予想していたよりも、企業の漏洩被害が少なくて済むことがわかってきた、とのことです。ただ、おっしゃるような、ゴミのような情報でも保護する、といった風潮があるとすれば、それは企業のリスク管理に問題があると思います。顧客にとって、また企業にとって漏洩させてはいけない情報は選別する必要があるでしょうし、行動基準が成り立っていないか、もしくは基準が執行されていないことに原因があるものと思われます。世の中が方向転換できるかどうかは、私もわかりませんが、ともかく情報保護過多の原因を自社で取り除く努力だけは「効率性」の面からも行っていくべきですし、まだまだ発展途上にあるのではないでしょうか。なお、このたびの顧客情報につきましては、金融機関にとっては保護に値する情報だと思っています。なんといっても、この情報を入手することでカード詐欺などの犯行を誘発する可能性もあったんじゃないでしょうかね。
>コンプライアンス・プロフェッショナルさん
ヒヤリ・ハット集という言葉で思い出しましたが、先日皮膚科の医師の方々の前で講演をさせていただきましたが、医療訴訟にならないような対応といったものは私が担当しまして、このヒヤリ・ハット集のような講演は、同業者の医師の方が講演をされておりました。コンプライアンスや内部統制を語るときに、いくつかの視点から考察することの必要性があると思いました。「前向きのコンプラ」といった問題を語るのであれば、やはりその企業の内情まで熟知したうえで、その企業に合った方策を検討すべきなんでしょうね。CFE(不正検査士)という資格の仕事も、そういった企業の実情を十分把握したうえでの問題点の指摘、に重点を置いているようでして、なかなか実務を勉強しているとおもしろいところがあります。
投稿: toshi | 2006年2月11日 (土) 02時06分