組織に潜む内部犯罪を考える（中編） 内部対策と外部対策の微妙な関係：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

　最近は、アイスクリームの冷凍庫内に入ったり、ハンバーガーのバンズの上に寝そべったり、パートやアルバイトの無責任な行動が話題となっているが、こうしたニュースを耳にする度に、店側や会社側と従業員との関係について解せないことがある。

　先ほどの考えで示す通り、パートやアルバイトを「内部」と規定するか、「外部」と規定するかという切り分けがさまざまな観点からできていない企業は多い。例えば、パート従業員でも取締役にさせた実績のあるA社と、単純に力仕事をあるタイミングだけに活用するB社では、その防御層が大きく異なるということだ。しかも、前日に履歴書と面接をしただけで「明日から来てください」と言われて作業に就いた人間と、パートとはいっても、正規従業員以上の働きをする2年間まじめに作業を行ってきた人間を同列にするのはおかしいと思うのではないだろうか。

　つまり、建前上ではパートも、アルバイトも、研修生も、経験1年の新人君も、中間管理職も、勤続20年のベテラン社員も、部長も、取締役も、社長も全て「内部」ではあるが、そこに明示的な防御層の違いを設けることが当然ではないだろうか。特に「内部」と「外部」の切れ目をしっかりとさせて、経験も実績も人物評価も、ある一定の「しきい値」を超えた時点から本来の「内部の防御層」の中に組み込むことで、それまでは社会的に「内部」であったとしても、防御層は「外部」でなくては企業を守れないということである。

　日本の企業経営者にこの観点がすっぽりと抜けているような気がする。少なくとも、筆者の経験ではそういう経営者が圧倒的に多いのである。

　例えば、採用時にきちんと誓約書を取り交わし、虚偽の書類や物理的論理的に損害を与えた場合には、会社はその賠償を請求する場合があるとか、身元保証人を立ててもらう。最近の学生のバイトなら、せめて両親の承認印をもらうこともあり得る。しっかりしている企業は、バイト学生でも両親から承諾を得ているかについて電話で確認している。

　そして「故意」で損害を与えた場合には、きちんとその賠償額を請求することを書類などで明示的に記載しておく。勤務初日の半分は、基礎的な作業の流れ以外に、社会人として行ってはいけないことや、例えば、冷凍庫に入った場合にどのくらいの賠償額となるのかを、試算例を交えてきちんと話をしておく。

　最初の半日で良いので、セキュリティやコンプライアンスなどの教育を通じて、SNSの利用制限や勤務中での制約事項について徹底させることで、最近の事例のほとんどは防御できるだろう。それでバイトに来ないようなら、むしろその方が企業にとってはありがたいと感じるはずだ。

　「外部防御層」の位置付けにいる一部のバイトについては、「一人で作業させない」「倉庫内や従業員用搬入エレベータのIDを渡さない」などその企業としての防衛層の中で行動させるようにしておくことである。

　例えば、もし業務用冷凍庫内に入り込んでツイートをした場合、従業員の行動について店側が謝罪する時には、本人の謝罪（未成年でも）をきちんと社会に対して示すべきだろう。論理的には店舗とパートやバイトの人格には全く関係がない。本来なら店舗は被害者であるが、そうと全面的には言えないのも、日本くらいかもしれないが……。

　まずは、そういう行為をした本人がきちんと謝罪すべきである。例えば、Webサイトに本人直筆の謝罪文を掲載する（未成年なら氏名はカットするが）といったことをして良いだろう。なお、法的に強制できるかどうかについては、誓約書の内容や被害状況に応じて弁護士と相談してケースバイケースでの対応となるとされる。

　また、店側は被害金額を正々堂々と従業員に請求することも大事だ。再発防止にもつながるだろう。これまでの事件をみるに、当人にとっては「ほんのささいなイタズラ」のつもりだと思っているようだが、実は多額の損害賠償につながるという基本的なことを知らないように思われる。（風評被害や閉店という場合なら数千万円以上になる可能性もある）当然ながら、未成年者なら保護者に請求するということにもなる。これらは明らかに「故意」であるため、従業員側にこうした行動の責任についてきちんと理解させることも必要だ。

　こういう状況が明らかになるにつれて一部では既に始まっているが、店側や会社側は雇用契約の中に従業員の不正行為に対する方針（謝罪や懲罰、損害賠償）などを盛り込み、予防措置を講じる企業がやっと増加してきた。

　パートを含めた従業員は、教育が一通り実施され、会社の経営理念や店の衛生概念などを習得して初めて「内部」の人間になる。それまでは「外部」の人間であり、会社や店側としては、そのための防御層を実装しなくてはならない。つまり、「内部脅威」と「外部脅威」とはそれぞれ別物では無く表裏一体のものであり、対策もその視点で講じていくべきだろう。

　さて次回は後編として、経理の不正や機密情報の持ち出し売買など内部不正においての基本的な考えについて述べてみたい。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。