個人情報漏洩(情報管理上のミス)と企業の労働環境配慮義務
個人情報漏洩事件について、企業側より相談を受け、事実調査(担当者からのヒアリング)や会社リリース対応についての支援を行うのは本日が3回目だったのですが、私の乏しい経験からではありますが、情報漏洩事件というのは、ほとんど人災のような印象を受けております。(そういったわかりやすい事案だからこそ、会社にも個人情報漏洩の事実が判明するのかもしれませんが・・・そうでなかったら、外部からの指摘で判明するのかもしれません。)いずれも社員による管理ミスが原因でありまして、最初は多額の借金を背負っていて、パチンコで一発逆転を狙って夢中になっていたところでパソコン窃盗に遭った事例、2回目は幹部社員が会社に黙って機密情報の管理を外部委託している間に、その外注先で情報が勝手に盗まれた事例、そして本日の事例は、人員整理で労働環境が悪化して、人手不足のなか超過勤務が重なり、一日2時間しか寝ていないような状況が継続するなかで、深夜の駅構内で居眠りをしてしまった間に、パソコン入りのカバンを盗まれた事例、というものであります。(このブログでも以前に某企業の情報漏洩事件について、どうもいかがわしいWEBページを閲覧しているなかで、ウィルス感染してしまった事例というものがありましたよね。)ちなみに、いつもチェックさせていただいている丸山先生のブログで初めて知りましたが、経済産業省より「情報セキュリティ関連法令の要求事項集」なる「情報セキュリティと法律」との関連性を整理した秀逸な参考資料が最近リリースされておりまして、裁判例などの検索にも便利でして、たいへん参考になりました。
実際に、こうやって現実の事例に関与しますと、いわゆる「外部侵入型」ではない「管理責任型」の情報漏洩事件というのは、いろいろと指針を設けてみても、なかなか防止することは困難なように思えます。私の体験した事件では、どれも社員が普通の勤務状況であれば、情報漏洩には至らなかったようなものでありまして、とくに2例目、3例目は会社の経営環境の悪化に伴って労働条件が劣悪化していき、そのなかで発生してしまったものであり、どんなに立派な指針を策定してみても、現実には防ぎきれないものと確信いたしました。(社員研修を徹底しても、また機密情報の管理規程を厳格にしてみたとしても、社員のミスを防止することは困難だと思います)ただ、情報漏洩事件が発生しても、そのパソコンが外部からの侵入にはきちんと対応できるようなセキュリティが施されていたことが救いのようでありまして、おそらく被害者(個人データを漏洩されてしまった顧客の皆様)の方には実害が発生しないものと思われます。こういったセキュリティの問題によって会社の信用毀損の有無が決まればいいのですが、実際には社員の管理ミス≒企業の情報管理上の責任という図式で企業不祥事として評価されてしまうわけですので、やはり再発防止策を含めて、今後の対応を検討していかなければならないわけであります。よく内部統制システムの構築義務と企業の情報管理体制整備の関係について議論されますが、たしかにセキュリティの面では独立して論じることは可能ですが、人為的なミスに関連する面では、情報管理だけを独立で論じてもあまり意味がないように思います。結局は労働環境配慮義務のようなところとつながってくる議論になるのではないか・・・と思います。
つぎに「侵入者から情報を守る」という意味での企業情報管理につきましては、これも反社会的勢力防止のための仕組み作りと非常によく似たところがありますが、これはまた別の機会に論じたいと思います。
| 固定リンク
コメント