Part1 なぜ「社員」の監視が必要か：「社内ブラックリスト」の作り方（1/3 ページ）

大規模個人情報漏えい事件は、内部者の故意（不正）によって発生する。内部者への統制が不可欠だ。対策として社員の監視を検討する必要がある。

[澤田智輝（KPMGビジネスアシュアランス），N+I NETWORK Guide]

N+I NETWORK Guide 10月号（2004年）より転載しています

POINT 1 「社員」の統制・監視が不可欠になりつつある 2004年1月以降に発生した大規模個人情報漏えい事件はすべて、内部者の故意（不正）により発生した。「社員」を何らかの形で監視し、統制することが不可欠になりつつある。 2 「抑止」「予防」「検知」の各観点から「社員監視」を実施する 内部不正による情報漏えい対策は、抑止、予防、検知、回復の各局面で実施する。このうち、抑止、予防、検知において社員監視を検討する。 3 流出経路の特定や法的観点から不可欠になる 「個人情報保護法」では、個人情報保護のために、情報を扱う「社員」に対する監督責任が厳しく問われる。また、情報が漏えいした場合、その流出経路の特定が求められるようになった。

深刻化する「不正のトライアングル」

　個人情報の漏えいによって、企業のトップが謝罪する場面をひんぱんに目にするようになっている。2000年1月の旧科学技術庁のホームページ改ざん事件以来、情報セキュリティの必要性が叫ばれて久しいが、情報セキュリティ事件は減少するどころか、増加の一途をたどっている（図1）。

図1■「社員」の監視が必要になる背景と理由

　2004年1月以降、事件によって漏えいした個人情報の件数を、流出経路（内部者によるものなのか、外部者によるものなのか）によりまとめたのが図2である。もちろん、報道されていない事件もあると考えるが、この図から内部者への統制が不可欠であることが読み取れる。また、50万件を超える大規模漏えい事件はすべて、内部者の故意（内部不正）により発生している。

図2■個人情報漏えい事件の要因分析

　筆者が所属するKPMGグループでは、内部不正の発生を促進する要因を、次の3つに分類し、「不正のトライアングル」と定義している（図3）。

図3■不正のトライアングル

• 不正を犯す機会の存在（対策の不備により、不正行為が可能な状態にあること）
• 倫理観・誠実性の欠如（不正を犯すことへの抵抗感が弱いこと）
• 不正を犯す動機の存在（不正を犯すことで自己利益が得られること）

　昨今の企業を取り巻く環境は、この3要因すべてにおいて、情報漏えいを加速させる方向にある。

　まず、「不正を犯す機会の存在」についてだが、情報化の推進によって一部の者が持っていた情報が積極的に共有され、誰にどこまでの対策を施すのかを決定することが難しくなってきている。また、情報システム自体が複雑化し、企業の理念・方針を情報システムのすべての機能に適用させることが困難になってきている。

　次に、「倫理観・誠実性の欠如」についてだが、コア・コンピタンス経営の流れにより、派遣社員、外部委託業者などの活用なしには業務遂行が難しくなってきている。さまざまな倫理観を持つ者に情報を利用させる必要があり、利用者全員の倫理観を向上させることは容易ではない。特に最近は、業務が再委託、再々委託されることも多々あり、誰に情報が利用されているかを把握することも難しくなってきている。

　最後に、「不正を犯す動機の存在」についてだが、架空請求事件の活発化に伴い、積極的に個人情報の収集を行っている業者もある。自らが保持している、もしくは閲覧できる情報に具体的な金額を提示されれば、情報を提供する者がいることは想像に難くない。

　現実的にも、企業からの個人情報の漏えい量が増え、個人情報の取引金額が値下がりを続けているとの報道もある。企業は、内部不正による情報漏えいに積極的に取り組む必要がある。

内部不正による情報漏えいへの対策