情報漏えいの原因が職場いじめ？ 2つの理由を探る：えっホント！？ コンプライアンスの勘所を知る

企業での情報漏えいインシデントの原因を紐解くと、そこにはコンプライアンスに関わる大きな問題が潜んでいる場合が少なくない。

[萩原栄幸，ITmedia]

　企業が大きな打撃を被ることにもなる情報漏えいなどの事故、その原因にはコンプライアンスに抵触する大きな問題が潜んでいる場合がある。これについて深く掘り下げてみたい。

原因を突き止めていくと……

　JNSA（日本ネットワークセキュリティ協会）は、毎年「情報セキュリティインシデントに関する調査報告書」を公開している。3月15日に公開された2011年の上半期の速報版では原因は次の通りとなっている。

1. 管理ミス（38.2％）
2. 誤操作(32.6％）
3. 紛失・置き忘れ（12.1％）

　ただし、これは（誤解を招くかもしれないが）表面的な原因に過ぎない。報道などで原因が深く掘り下げられることは少ないものの、例えば「なぜ、誤操作をしたのか」と時間をかけて調べていくと、「最近は休日出勤が続いていた」「深夜作業が多くて前日も会社に泊り込んでいた」といったことがみえてくる。さらに、「それはなぜ？」と掘り下げていくと、幾つかの原因に集約されていく。

　そうした中で、プライベートな問題（例えば、賭け事で多額の借金を作ってしまった、親の介護で貯蓄が底をついたなど）を除くと、「職場いじめ、村八分のような処遇」「善意の確信犯」という2つの原因が最近増加しているのである。

職場いじめ、村八分のような処遇

　職場は人間の集合体なので幾つかのグループ（集落）が生まれ、その過程でうまくグループの中に溶け込めない人が出てくる。それがいわゆる「村八分」のような存在になる。

　これ自体はさほど組織全体の生産性などに大きな影響を与えない、しかしグループの人間が悪い方向に行くと、村八分のような人に“積極的”に関与し始める。例えば、部全員に周知すべき通達事項が特定の人間だけ知らされない。「メールが届かないが？」と理由を聞いてみると、グループの人間は「忘れていました」という。ところがメーリングリストに登録すれば済むはずなのに、村八分のような人にはいつまで経ってもメールが届かない。「忘れていました」といったこじつける理由がなくなるまで続く。

　これは、村八分のような存在になった人にとっては、精神的にも相当に辛い。かなり図太い人でもこたえるだろう。その結果、情報漏えいなどの行為におよぶことになりかねないのである。加害者（グループ）側にいる人間は、絶対にこういう卑劣な行動を慎んだ方がいい。「逆の立場になったら」と想像を働かせれば、すぐに分かるはずである。こういう「いじめ」は人間の醜さを露呈させるだけにすぎない。

善意の確信犯

　これは、職場での作業量がオーバーワークとなった場合に組織としてどう対応していくべきかという課題にもなるのだが、ダムの亀裂と同じように一番に脆いところから決壊してインシデントにつながっていく。最も大きな作業量を持った人から“亀裂”する。「わたしだけ我慢すれば……」「わたしだけが犠牲になれば……」といって、規則を破りUSBメモリにデータをコピーして自宅のPCで作業する。帰宅時などにUSBメモリを紛失したり、自宅のPCがウイルスに感染したりしていればデータが漏えいするリスクがある。

　筆者はこういう人を10年以上前から「善意の確信犯」と呼んでいる。自己犠牲の「素晴らしい行為」ともみられるが、実際には美しい精神にはほど遠い“殺伐”とした精神しかない。こういう人がリスクをかさ上げし、時には企業の存続すら危うくさせている。

しかし、なかなか指摘するのが難しい。なぜなら、一般的にこういう人は「職人気質」の性格であり、仕事そのものは正確で早く、周りからも一目置かれている人だからだ（だから自ずと仕事が偏り、能力の限り何とか消化しようとしてしまう）。

本人には「被害者」という意識が希薄であり、ともすれば「（無能な）上司のいうことなど聞いていられるか！」「会社のいうことをまともに聞いていたら仕事にならない」という考えで作業している。仕事は確かにできるだけに、「コンプライアンスに抵触するからやめてください」とは言えない状況になりがちだ。

　組織としては、こういう「善意の確信犯」を生ませないさまざまな防衛策を講じておかなければならない。もし「善意の確信犯」が原因で、マスコミが騒ぐようなインシデントが発生すれば、企業も“確信犯”も傷つくことになり、閉塞感だけが残る。

メンタルケアが重要！

　コンプライアンスに関わる人の中には、ルールを作ったり、違反を検知するシステムを導入したりすることで、組織をきちんと指導できると考えている場合がある。だがこの考えは捨てるべきである。会社全体や職場、作業領域などの集団としての経済活動状況を把握し、社員の意向を無視した行動やモラルの低下、勤労意欲の減退、強いては生産性低下、収益下降という非常事態を最大限に防止する努力が求められる。啓蒙活動やメンタルケアを積極的に行い、職場の意見に耳を傾けて「検証」することが極めて重要になる。机上での作業ではなく、「現場100回」の実践が必要である。

　そうすれば、インシデントにつながる可能性がある原因の一端が見えてくる。ひょっとしたら、たった1つの追加資料のために、「善意の確信犯」を生み出しているかもしれない。組織、部門、プロジェクトのために、たった1枚の資料を個人がアップアップの状態で作成しようとしたときに、全体のバランスが崩れてしまうかもしれない。こういう情報は待っているだけでは絶対に分からないものであり、コンプライアンスの担当者や管理者が自ら現場に出向いて汗を流しながら丹念に観察しないと分からないことなのだ。

　一部のコンサルタントなどは、「こうすれば簡単に社内を把握できる」といった口調で無責任な方法論を振りかざす場合があるが、コンプライアンスの担当者や管理者は安易に受け入れないようぜひお願いしたい。現場を知ることに苦労が伴うこともあるが、“効率的”な苦労を心掛ければ、現場から重要かつ貴重な情報を入手できるので、その努力を常に意識していただきたい。

編集部より……「えっホント！？　コンプライアンスの勘所を知る」の次回記事は5月11日に掲載する予定です。

萩原栄幸

一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント（システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名）として活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。