新社会人が陥りやすいコンプライアンスの落とし穴：えっホント！？ コンプライアンスの勘所を知る（2/2 ページ）

[萩原栄幸，ITmedia]

“グレーゾーン”は意識して行動せよ

　難しいかもしれないが、「法律には触れないけど、社会的なルールやマナーではアウト」という行為でぜひ心掛けてほしいのが、「もし自分がそういう行動をとられたなら不快に感じるか？」という想像を働かせることである。コンプライアンスを意識した行動とは、他人からみて不快に感じない行動ということだ。

見て見ぬふり、会社ではご法度！

　筆者がコンサルタントをしていたある工場で、製造ラインの近くにいたAさんの服の袖口がラインに引っかかりそうになった。それを見ていた新人のBさん、ちらちらとAさんを見てはいたが、決して言葉を発することはなかった。それを数分間見ていた筆者は、「Aさん！　袖口がラインのコンベアに触れていて危ないですよ！　気づいていましたか？」と声をかけました。Aさんはびっくりして「全く気づきませんでした。このジャンバーは今日から着ていますが、支給されたサイズが一回り大きくて。すぐに総務に話して別のものを発注してもらいます！　ありがとうございました！」と話していた。

　そのまま放置をしていたら、恐らく事故になるのは時間の問題だったと思う。今の世の中、他人に感心を持たない方が上手に生きられると、多くの新人が思っているようだが、それでよいだろうか。社内やそのリスクが生命に直結する工場などの現場では話は別だ。全員が一丸となって事故を防止するように心がけ、細かい事象でも報告しなければ、それが基になって重大な事故が起こりかねないのだ。コンプライアンスの考えでは絶対に、しかもその場ですぐに警告すべき事象である。

大学の常識は会社の非常識

　実際に筆者が遭遇したことを挙げよう。

1. 社内LANにつながっているOA端末にWi-Fi機器を取り付けた電子工学科卒業のD君
2. OA端末の壁紙を管理者に無断で雑誌の付録についていたDVDからコピーした画像に変えた数学科卒業のE嬢（禁止行為であった）
3. USB接続自体は許可されている企業で自分が購入したソフトをUSBからインストールした法律学科卒業のF君
4. OA端末のActive Directoryの設定を勝手に操作しようとしていた応用工学科卒業のG君（Adminではないので未遂に終わった）
5. レジストリを変更しようとしていた物理学科卒業のH嬢

　いずれも筆者が実際に現場で見たものだ。この中で2については実際に壁紙が変更され、ある業務システムがフリーズして大変な騒ぎになった。E嬢が言うには、「私は自分の好きな壁紙に変更しただけ。システムのフリーズとは全く関係ありません！　私はこれでもPCに詳しいから分かります。無関係なはずです。犯人にしないでください」とのこと。まずは壁紙変更が明示的に禁止されているので、立派なコンプライアンス違反だ。

　なぜ禁止されているのかを理解していたのだろうか。この業務システムは「○○.dll」を以前のバージョンにしていないと動かないもので、現在は64ビット版に変更中。それが完成すればフリーズはなくなるが、それでも壁紙禁止は継続するつもりだったという。

「このDVDからインストールした際に同じdllが変更されたことは君は理解しているのか。PCを調べたが、この壁紙の変更が原因なのは明らかだ。大学では詳しかったのかもしれないが、ここではど素人だ。プロならそのくらい理解しているはず」とE嬢に話をすると、彼女は顔を真っ赤にして下を向いてしまった。会社のルールの中には、実際には意味がなく理不尽なものもあるが、これは明確な意味があったケースである。その理屈も理解できない新人は、まずは従うことだ。そして理解し、どう対応すれば無意味な規則が修正できるかを学ぶべきである。

「終わり良ければ全て良し」は過去の考え

　コンプライアンス的な思考からすると、世間とはやや異なるかもしれないが、実は「プロセス（過程）」が大事になる。そこに至るまでのプロセスにおいて、結果だけを求めるのではなく、胸を張れる行為を継続できたかどうか、結果第一主義で今まで大きな代償を払ってきた社会は、「プロセス」の重要性にだんだんと気が付きはじめている。結果第一主義では「今は少しの間、会社の金を借りているだけ、要するにこのFXで利益を得て、期日までに会社の口座に入金しておけば絶対にバレない。ちょっとリスクはあるが、絶対に儲かるはず……」と安易に考える。

　こうして、いけない行為に手を染め、地獄の底に自ら入っていく若者が必ずいる。プロセスにおいては絶対にしてはいけないコンプライアンス違反。バレる、バレないではない。犯してしまったか、どうか、である。

自分の作業における「リスク」を洗い出す

　コンプライアンスとはいっても、実際にどう対応してよいか分からないのが新人だ。今、自分が仕事で行っている具体的な内容を基にして、コンプライアンスとしての考えやリスクマネージメントの初歩的な考えでリスクを洗い出ししておくと知識の整理につながる。ぜひ実施しておいた方が良いと考える。

例：当部における交通費精算業務

リスク：不正な小口請求による横領

対策：小口精算なら領収証は不要。でも該当者の前例から逸脱している場合には、一度その使途や交通について話を聞く。そうすることで不正の予防にもつながっている場合が多い。

　以上、誰でもがチェックできる内容を提示したつもりである。新人君にとって素晴らしい人生の一助になれば幸いである。

萩原栄幸

一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント（システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名）として活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。