« DNA親子関係不存在確認請求事件最高裁判決に対する雑感 | トップページ | 監査等委員会設置会社への移行に関する検討ポイント »

2014年7月22日 (火)

遅まきながらベネッセHD個人情報漏えい事件への雑感

(7月22日 夕方 追記あり)

企業不祥事としては、今年の代表的な事件となるであろうベネッセホールディングス社の個人情報漏えい問題(不正競争防止法違反事件)ですが、なかなか犯人逮捕までは事実関係も把握できなかったので、ブログでのコメントは差し控えさせていただきました。ようやく第三者委員会の設置も決まり、まだまだ新事実が出てくるものとは思いますが、現時点までに判明しているところからの感想を述べさせていただきます。あくまでも個人的な意見でございます。

今回のベネッセの問題を企業コンプライアンスの視点から考えますと、大きく分けて内部統制と危機広報の問題が検討すべきポイントだと思います。そのうち、危機広報に関する論点は、現在連載中の月刊誌「広報会議」で述べることとしまして、ここでは内部統制に関連する論点だけ触れておきます。

もう当ブログでも何度も申し上げておりますので、とりたてて新しい意見ではないのですが、内部者による情報漏えい対策について考えるべきことは、「不祥事は起こしてはいけない」という発想で対応するのか、「不祥事は起きる」という発想で対応するのか、御社はどっちですか?という点に尽きると思います。アクリフーズ社の食品農薬混入事件の第三者委員会報告書(最終版)でも明らかにされたように、社員の故意による農薬混入を完全に防止することは困難だったとしても、昨年12月の農薬混入までの半年間に13件ほどの「異物混入」の事実が判明していた(もちろん、これらの異物混入が誰の仕業かは不明なのですが)ということですから、もう少し早くリスクへの感度を上げることはできなかったのかどうか・・・ということが焦点となりうるのです。

「当社において、不祥事は起こしてはいけない」という発想が強くなりますと、情報管理をどこまで徹底するか、という事前規制と、社員教育や厳格なペナルティということに配慮することになります。もちろん不正の防止という点は大切ですし、社員教育も委託業者を含めて徹底することも必要でしょうが、はたして企業の費用対効果…という点からみて本当に徹底管理は可能なのでしょうか。それだけ徹底すれば現場での情報活用に時間と手間を要することになり、営業面で他社には遅れをとることになり、情報管理にとんでもない経費もかかります。また、どうしても管理ルールに反するような運用を許容せざるをえない場面も出てきますので、ルールに例外的処理が増えて、ブラックボックスを許容する雰囲気が蔓延することにもなりかねません。

「不祥事は当社でも起きる」という発想で考えるのであれば、たとえば個人情報漏えい事件は発生することを前提として、ではいかに早期に情報流出の事実を発見するか、という点にリスク管理の重点を置くことになります。ベネッセの事件においても、犯人が最初に情報を流出させてから、会社が気が付くまでに約半年を要したとされ、もっと定期的にアクセス情報やコピー履歴をチェックしていれば早期に発見できたのではないか、と報じられています。つまり内部統制システムの整備は十分に行われていたのですが、内部統制システムの運用面に問題があった、という典型的な例です。

ベネッセの事例では、犯人逮捕後に判明したことですが、犯人は670万件の個人情報をコピーして名簿業者に売却した後、さらに2000万件の情報をスマホにコピーしていました。しかし、会社が情報流出に気づき、社内調査を始めたことを犯人が知ったことから、その2000万件については名簿業者に売却するのをあきらめたと報じられています(なお、本日の追記をご参照ください)。つまり、不正の早期発見はさらなる不正を予防するという意味でも大きな意義を有していたことになります。ホワイトカラーによる会社資産流出事件特徴は、最初はバレないかどうか不安なために、ほんの少し流出させ、バレないとわかるや大胆な手口に発展していくというものです。したがって、今回のベネッセの例でも、もし定期的なチェックをもって早期発見が可能だったとすれば、もっと被害は少なくて済んだ可能性があります。

「不祥事は必ず起きる」という発想での内部統制は、どうしても性悪説に立った対策となるために経営者の賛同が得にくいのが実際のところです。また、内部統制の運用面を重視するので、たいへん地道な努力が求められます。しかし、他社とのし烈な競争を繰り広げている会社が、スピード経営を犠牲にしてでも「情報漏えいを完全に防ぐための徹底した情報管理」など、掛け声としては素晴らしいとしても、ほとんど不可能ではないでしょうか。収益を上げながらも、顧客の安全に配慮するのであれば、自社でも不祥事は起きることを前提に、いかにして安全被害を最小限度に抑えるか・・・というバランス感覚を持つことが必要です。そうでなければ、いつまでたっても「掛け声だけのコンプライアンス」という思考停止状態からは抜け出せず、不祥事のたびに社長が謝罪会見を繰り返す・・・ということになってしまう気がします。

7月22日夕方 追記

本日のベネッセ発表によると、実際に個人情報が漏えいしたのは760万件ではなく、2260万件であったとのこと。「最大でも2070件」と発表していたのですが、それ以上の漏えいが確認されたそうです。なぜ、いまごろになって数字が訂正されるのか???また、このこと自体が問題視されそうですね。

7月 22, 2014 コンプライアンス経営はむずかしい |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/104680/60021807

この記事へのトラックバック一覧です: 遅まきながらベネッセHD個人情報漏えい事件への雑感:

コメント

山口様

いつもブログの更新を楽しみにさせていただいております。

7月22日夕方 追記の『最大でも2020件』との記載。
『最大でも2070万件』が正確かと思います。

【参考】
㈱ベネッセホールディングスのニュースリリース
「お客様情報の漏えいについてお詫びとご説明」
http://www.benesse-hd.co.jp/ja/about/release_20140709.pdf

日本経済新聞2014/7/19 ベネッセHD、顧客情報漏洩 最大2070万件
http://www.nikkei.com/article/DGXNASDZ0909K_Z00C14A7000000/

投稿: 信州会社員 | 2014年7月23日 (水) 07時52分

信州会社員さん、ご指摘ありがとうございます。さっそく訂正しておきました。それにしても、ちょっと広報コンプライアンスの視点からまた難しい状況になってきましたね。まだまだ目が離せない事件ですし、消費者庁でもかなり問題視されているようです。

投稿: toshi | 2014年7月24日 (木) 01時36分

コメントを書く