2011年6月13日 (月)

原発事故・「想定外」と情報開示に関する素朴な疑問

日曜日(6月12日)の夜、高濃度のストロンチウムが(福島第一原発地域で)地下水や海水から検出された、とのニュースに触れ、汚染水処理施設ができたとはいえ、いよいよ原発事故もたいへんな状況となってきたことを覚悟いたしました(朝日新聞ニュースはこちら)。ご承知のとおり、ストロンチウムは半減期がとても長く、放射線を体内から浴びて白血病を起こす危険性が高いわけで、今後は放射性物質が混入していることをあえて承知の上で食品を摂取しなければならないことになるんですよね。これによって今後、工程表のとおりに福島第一原発が冷温停止状態に至ったとしても、土壌や海水汚染によって長期にわたり、健康被害が持続することになるようであります。もはや東電さんの「健康に影響が出ないレベル」との意見情報は誰も聞く耳を持たなくなったのでは、と。

事故から3か月も経過しますと、テレビに登場される専門家の方々がおっしゃることが全くアテにならないことが判明し、もはや自分が信用できると思われる専門家の方の判断基準をモノサシとして、そこに東電さんや政府の事実情報を集めて判断するしかなさそうな状況であります(今頃認識しても遅すぎたかもしれませんが・・・・)。まさに今回の原発事故で正確な情報と、自己責任による判断の重要性を痛感いたしました。ついに私のように(事の重大性にわざと目をそむけて)ノホホンと暮らしていた一般庶民も、家族と今後のことをきちんと話し合う時期になってしまったようであります(関電の15パーセント節電要請もありますし・・・)。

原発事故にあまり詳しいほうではありませんので、これは素朴な疑問なのですが、東電さんは今回の福島第一原発の事故発生は「想定外」「不可抗力」という言葉をお使いになるようですが、なぜ想定外の事態に至ったのにもかかわらず、事故発生当初から情報開示に積極的でなかったのでしょうか?想定外ということは、専門家軍団である東電さんでも、今回の事故収束に向けて原発をコントロールできない、ということですから、海外なり、街場の専門家なりの支援を得られるよう、たとえ正確なものでなくても、事実情報を速やかに開示しなければならなかったはずであります。素人的発想としても、なぜ製造元のGEの支援をとりつけなかったのか、とても疑問であります。この疑問は、事故発生当時の状況を斟酌したうえでのものであり、けっして「後だしジャンケン」的発想ではございません。これは東電の役員の方々の善管注意義務にも影響を与える可能性が高いのではないでしょうか。

かりに、東電さんが開示すべき情報を自社で選択し、かつ正確性を調査したうえで開示していた、ということ、つまり東電としての情報開示が適切であったとするならば、それは原発事故が自社の能力においてコントロールできていたことを示すものであり、当然に想定内の事態への対応をしていたということになるのでは?との疑問が湧いてまいります。もし想定外の事態に至ったにもかかわらず、消費者、専門家、海外諸国に向けて適切に情報開示をしていなかったとするならば、それは(組織の社内力学としては、そういったことがあり得ても)経営判断としてはあり得ない選択ではないか、と。

ホンネで申し上げますと、この高濃度ストロンチウム拡散の情報のように、適時適切な情報開示は東電さんしかできないと思いますので、これからも東電さんには頑張ってもらうしかないと思っております。しかし、原発事故の法的責任という視点からみると、東電さんの情報開示の在り方は、①情報開示の対応自体に過失がなかったかどうか、②情報開示の対応の稚拙さから平時における安全対策の過失が推定できないか、という二つの重大な問題に結びつくのではないか・・・・・と、考えたりしております。

あと、余談ではありますが、関電の株主総会で「脱原発」が株主提案で審議されるそうであります(ニュースはこちら)。社長さんの解任議案等は別としましても、脱原発議案については、関西では50%を原子力に依存しているものの、もはやイデオロギー的な問題とは言えないですね。私は関電の大株主である各企業さんが、この株主提案について賛成票を投じたのか、反対票を投じたのか、開示してほしいと思います。賛否いずれにせよ、各企業がどのようにエネルギー問題を考え、社会的責任を果たそうと考えているのか、ぜひお聞きしてみたいところです。

6月 13, 2011 情報管理と内部統制 | | コメント (8) | トラックバック (0)

2009年7月22日 (水)

個人情報漏洩(情報管理上のミス)と企業の労働環境配慮義務

個人情報漏洩事件について、企業側より相談を受け、事実調査(担当者からのヒアリング)や会社リリース対応についての支援を行うのは本日が3回目だったのですが、私の乏しい経験からではありますが、情報漏洩事件というのは、ほとんど人災のような印象を受けております。(そういったわかりやすい事案だからこそ、会社にも個人情報漏洩の事実が判明するのかもしれませんが・・・そうでなかったら、外部からの指摘で判明するのかもしれません。)いずれも社員による管理ミスが原因でありまして、最初は多額の借金を背負っていて、パチンコで一発逆転を狙って夢中になっていたところでパソコン窃盗に遭った事例、2回目は幹部社員が会社に黙って機密情報の管理を外部委託している間に、その外注先で情報が勝手に盗まれた事例、そして本日の事例は、人員整理で労働環境が悪化して、人手不足のなか超過勤務が重なり、一日2時間しか寝ていないような状況が継続するなかで、深夜の駅構内で居眠りをしてしまった間に、パソコン入りのカバンを盗まれた事例、というものであります。(このブログでも以前に某企業の情報漏洩事件について、どうもいかがわしいWEBページを閲覧しているなかで、ウィルス感染してしまった事例というものがありましたよね。)ちなみに、いつもチェックさせていただいている丸山先生のブログで初めて知りましたが、経済産業省より「情報セキュリティ関連法令の要求事項集」なる「情報セキュリティと法律」との関連性を整理した秀逸な参考資料が最近リリースされておりまして、裁判例などの検索にも便利でして、たいへん参考になりました。

実際に、こうやって現実の事例に関与しますと、いわゆる「外部侵入型」ではない「管理責任型」の情報漏洩事件というのは、いろいろと指針を設けてみても、なかなか防止することは困難なように思えます。私の体験した事件では、どれも社員が普通の勤務状況であれば、情報漏洩には至らなかったようなものでありまして、とくに2例目、3例目は会社の経営環境の悪化に伴って労働条件が劣悪化していき、そのなかで発生してしまったものであり、どんなに立派な指針を策定してみても、現実には防ぎきれないものと確信いたしました。(社員研修を徹底しても、また機密情報の管理規程を厳格にしてみたとしても、社員のミスを防止することは困難だと思います)ただ、情報漏洩事件が発生しても、そのパソコンが外部からの侵入にはきちんと対応できるようなセキュリティが施されていたことが救いのようでありまして、おそらく被害者(個人データを漏洩されてしまった顧客の皆様)の方には実害が発生しないものと思われます。こういったセキュリティの問題によって会社の信用毀損の有無が決まればいいのですが、実際には社員の管理ミス≒企業の情報管理上の責任という図式で企業不祥事として評価されてしまうわけですので、やはり再発防止策を含めて、今後の対応を検討していかなければならないわけであります。よく内部統制システムの構築義務と企業の情報管理体制整備の関係について議論されますが、たしかにセキュリティの面では独立して論じることは可能ですが、人為的なミスに関連する面では、情報管理だけを独立で論じてもあまり意味がないように思います。結局は労働環境配慮義務のようなところとつながってくる議論になるのではないか・・・と思います。

つぎに「侵入者から情報を守る」という意味での企業情報管理につきましては、これも反社会的勢力防止のための仕組み作りと非常によく似たところがありますが、これはまた別の機会に論じたいと思います。

7月 22, 2009 情報管理と内部統制 | | コメント (0) | トラックバック (0)

2005年9月18日 (日)

情報管理と内部統制

旬刊経理情報の9月10日号、同20日号の連載で、「NTTドコモにおけるSOX法404条への対応~プロジェクト運営から見える日本企業への示唆~」として、実際に米国の基準をクリアした内部統制システム構築担当者の論稿(体験記)が掲載されましております。文書化プロセスの流れや構築上の悩みなど、たいへん興味深いものです。これを執筆されたNTTドコモの担当者の方、最近までNTTコムに在籍されていらっしゃったようで、財務上のシステム監査への対応などにも造詣が深いのでしょうね。NTTコミュニケーションズあたりは、まさにこれからのシステム監査への対応を中心とする内部統制システムの「伝道師」的立場にある会社といえましょう。

ただ、内部統制の限界ともいうべき事件が、このNTTコムの周辺で発生してしまったようです。業務の外部委託先であるシステム開発会社の代表者から、「3億よこせ。そうでないとお宅の保有している顧客情報を漏らすぞ」と脅され、結局この代表者は恐喝未遂で逮捕されてしまった、というものです。  朝日ネットの記事です。(9月17日)

自社の内部統制システム構築には万全を期していても、自社情報を共有する外部委託先企業とのトラブルが発生してしまうと、結局自社の対策が水泡と帰してしまう可能性があるというのは恐ろしいことですね。ちなみに、このMPIという企業のHPをみつけました。

 エム・ピー・アイ(渋谷区)

今年の5月にプライバシーマークも取得しており、誠意をもって個人情報を守りますと謳ったHPの内容からは、企業名のとおり「誠実性」がうかがわれます。天下のNTTコムさんが顧客情報を共有していた企業ですから、それなりの実績もあり、信用もあったのでしょう。しかしながら、今回のような代表者の事件。いきなり「3億よこせ」というのはちょっと考えられませんので、おそらく取引上の経緯があったのだとは思いますが、こういった統制リスクというものは、人から教えられて防止できるものではないでしょうね。外部委託先との顧客情報の共有に関するリスク回避、というのは教科書的には理解できるものですが、実際のところは回避困難なリスクであって、おそらく内部統制の限界のひとつに含まれるのではないでしょうか。

すでにいろいろなところで、NTTコムさんが講師となって「システム監査」の研修会など、されておられるようですが、どうか今回の事故について、どうしてこのような事態になったのか、どうしたら外部委託先とのトラブルを防止できるか、情報漏えいの有無については、どのように調査確認をして、いつ顧客に明確な報告をするのか等も含めて、どうか講習をしていただきたいと思います。リスクというのはどんなに防止策をとったとしても発生しうるもの、むしろ発生後にそのリスクの影響を最小限度に抑える方策というものも、たいへん重要な作業であり、他社にも非常に勉強になるものではないでしょうか。

9月 18, 2005 情報管理と内部統制 | | コメント (4) | トラックバック (0)