米ヒューレット・パッカード(HP)が,機密情報漏洩の原因を究明するために行ったとされる“内偵調査”を巡って大きく揺れている。
これは,昨年から今年初めにかけて,同社の取締役会の情報が一部メディアに流出して報道された,というもの。同社は情報を流した“犯人”を特定するために,カーリー・フィオリーナ氏から会長職を引き継いだパトリシア・ダン氏の主導で,一部取締役やメディア関係者の通話記録を“不正な手段”で入手したとされる。
この一件を巡っては,9月22日(米国時間)にダン氏が2007年1月付けで会長職を辞任すると発表(関連記事「HP会長Dunn氏が辞任,『今辞めることがHPにとって最良』と取締役会」)。9月28日(同)にはダン氏をはじめとする関係者が,米下院の公聴会で証言する予定だ(関連記事「HPのプリテキスティング問題,米下院が9月28日に公聴会」)。
HPのケースでは,情報漏洩の原因究明の手法を巡って大きな問題に発展したわけだが,情報漏洩を抑止したり原因を究明したりすること自体は,どの企業にとっても切実な問題である。実際,日本でも1990年代後半以降,情報漏洩対策やリスク管理の名のもとで,社員のインターネット利用(電子メールやWeb閲覧)を監視したり制限したりする企業が急増した。
読者のなかには,自分の勤務先でそうした施策が実施され(あるいは,実施されている可能性があると思い),不快(不安)に感じている方も結構いるのではないだろうか。
リスク管理の観点では,企業が社員に業務用途で提供しているパソコンを,それ以外の用途で使わせないようにすること自体は間違っていない。そのことは誰もが分かっている。しかし,社員が何となく不快感や不安感を抱くようでは,決して褒められた職場環境とは言えないだろう。いったい,どこに問題があるのだろうか。
問題は専ら,監視や制限の“やり方”にある,と筆者は考える。ここでの“やり方”は,犯人探しの手段という狭い意味ではなく,監視や制限を実施する際の,社員への伝達や事前の合意といったコミュニケーションのあり方を指している。
筆者は以前,セキュリティ専門のコンサルティング会社の幹部から,こんな話を聞いた。「当社の顧客で,社員のインターネット利用を監視・制限するフィルタリング製品の導入を計画している企業のうち,ほぼ半数が社員に“内緒”で導入しようとしている。これはマズイ。内緒で監視・制限していることが発覚した場合,会社と社員との信頼関係に取り返しのつかないキズが残るからだ」。
ではどうするか。この幹部は「企業は,なぜ業務以外の利用を禁止するのか,その意味をきちんと社員に説明したうえで,リスク管理の観点から監視・制限を行うことを正々堂々と宣言すべきだ」と言う。そうすれば,社員の不快感はゼロにはならないにせよ,不安感は取り除かれるし,会社にとっては社員がインターネットを不正利用しようという試みを抑止できる効果も大きい。
特に国内企業では,この“説明”や“宣言”が足りないケースが多いのではないだろうか。その点,外資系のある大手ITベンダーは,すべての社員に対して「会社が業務用として提供する備品は,業務以外の用途にはいっさい使わない」という誓約書にサインさせたうえで,監視・制限を行うことを宣言しているという。説明や宣言の重要性は,財務報告の不正を排除することを目的とする内部統制(最新の情報は「内部統制.jp」を参照されたい)についても,同じことが言えるだろう。
“闇討ち”では,たとえ犯人探しの効果が上がったとしても社員の理解は得られないし,長期的には会社と社員との間に深い溝を作ることにしかならない。HPの一件の報道に触れながら,そんなことを考えさせられた。
