そろそろ読者の皆さんも驚かなくなってきたのではないだろうか?企業で相次ぐ情報流出事件に。
ひと頃のWinny(ウィニー)騒動が少し落ち着いたかと思いきや,ここ1~2カ月の間にも大きな事件が続いている。7月24日と25日には,日本テレコムと弥生による情報流出が連日,報じられた。日本テレコムは,Winny(ウィニー)を通じて取引先4社の情報を流出(参考記事「日本テレコムが取引先の情報を漏えい」),弥生は16万件あまりの顧客情報を流出させたという(参考記事「弥生、約16万4000件の顧客情報を流出」)。
これより先の6月13日には,KDDIが,同社のインターネット接続サービス「DION」の顧客情報約400万人分を流出させたと発表した(参考記事「KDDI、400万人分の顧客情報が流出」)。個人情報の流出としては,ほとんど前例がない規模である。
このような情報流出を起こした企業は通常,報道機関や監督官庁に対して,流出した情報の件数や内容,事故の経緯,今後の対策などについて説明することになる。影響の大きさによっては,当然,社長が矢面に立つ。KDDIの場合は,急きょ設置した対策本部の本部長に小野寺正社長が就任。「対策をかなり実施してきたつもりだが,結果として不十分だった。物理的な対策は当然として,それ以上に組織や社員の教育を徹底していかなければならない」と語った(参考記事「アクセス・ログは1年間しか保存していなかった」)。
今でこそ,企業のトップが早いタイミングでこうした説明を行うことは珍しくないが,以前は決してそうではなかった。まず事件が表面化するまでに時間がかかり,事件が発覚してからも詳細が明らかになるまでにまた時間がかかる,という具合だった。悪い言い方をすれば,往生際が悪かったのである。
こうした企業の態度が変わった背景として,2005年4月に施行された個人情報保護法の存在はもちろん,一般社会における情報開示への急速な意識の高まりがあることは間違いない。そして何より,「正確な情報を素早く開示しないと,社会的な信用が一気に失墜するなど,むしろ危機を拡大してしまう」ということに,企業自身がようやく気づき始めたことが大きい。
企業が事故防止に努めるのは当然だが,あらゆる事故を防ぐことは現実問題として不可能だ。だとすれば,防ぎきれなかった事故が起きたときに,いかに早く手を打ち,かつ,その情報を早く正確に開示することで,被害を最小限に食い止めるか。これこそが企業のリスク・マネジメントにおいて極めて重要なことだと認知され始めたのである。つまり,“事後”の判断・行動が,大きくクローズアップされるようになったわけだ。
では,相対的に“事前”の対策が軽視されるようになったかといえば,もちろん,そんなことはない。例えば,今年6月の金融商品取引法の成立で,企業の「内部統制」への取り組みは,いよいよ“待ったなし”となった。個人の不注意や悪意にできる限り影響を受けることなく,業務プロセスや情報システムの“仕組み”を改善することで財務報告の不正を防止する取り組みが,法的に義務付けられたのである。(内部統制に関する詳細は,日経BP社の専門サイト「内部統制.jp」を参照されたい)。
数年前に起きた雪印食品の牛肉偽装事件や,最近の三菱自動車の欠陥隠し事件は,財務報告の不正とは無関係だが,内部統制が全く機能していなかったばかりか,事件発覚後の判断・行動をも誤った生々しい実例と言えるだろう。「前?後?」というタイトルを付けておきながら,身も蓋もない言い方になってしまうが,企業は今,“事前”の事故・不正防止と,“事後”の対処の両方で,強力なマネジメント力を発揮することが求められているのだ。
だとすれば,事業や業務の遂行,あるいは情報システムの構築や運用に責任を負う社員個人にも,これまで以上にマネジメント力が求められることは言うまでもない。こうした企業と個人のマネジメントの参考になる情報を,ITproや内部統制.jp,あるいは姉妹サイトの「経営とIT新潮流」を通じて,今後も積極的に提供していきたいと考えている。
