「染原さん、本当に本当に大変だったんですよ。本当にできるだけのことをして、日々利用者の方々の信頼回復に努めているんですよ」。取材に応対してくれた小林さんが津軽弁で何度も言ったこの言葉が印象的でした。
個人情報保護法が施行されてから1年が経過した現在の状況をまとめる記事を執筆するために、みちのく銀行に電話をかけたときのことです。保護法施行後、最初に“大事件”を起こしたのが、みちのく銀行でした。131万件もの個人情報を紛失したのです。
色々な企業や団体に電話で話を聞きましたが、みちのく銀行の対応には他のどの企業・団体とも比べものにならない「真摯な姿勢」を感じました。
こういった類の電話取材は、取材する側もされる側も気分のいいものではありません。にもかかわらず、みちのく銀行は事件の経緯、その時の状況、個人情報保護法前と事件後にとった対策の違いなど、こと細かく説明してくださいました。その説明の隅々から「利用者の方に申し訳ないことをした」という気持ちがひしひしと伝わってくるのです。北国出身の私にとって、暖かい津軽弁も心を揺さぶられた一つの要因かもしれません。電話で話した時間は実に1時間にもなりました。
一方で、ある自治体の対応には逆の意味で驚きました。その自治体は報道では数十万の個人情報が記録されたCD-ROMを紛失した、とされていました。
電話をしてみると、「後日見つかったんですよ」とのこと。色々と事件の経緯を聞くと「分かりません」のオンパレード。「分からない」というより、取材に応えようという意志さえ感じられません。
最終的には面倒くさそうにこう言うのです。「うちはね、染原さん。見つかったんですよ。CD-ROMは紛失したのではなくて、一度は紛失したと思ったわけですが、結局見つかったんです。他の流出事件と一緒にされると困るんですよ」。
電話取材の時間は5分に満たないものでしたが、終始「見つかったんだからいいでしょ」という態度は変わりませんでした。自分たちが報道で叩かれた痛みや叩かれる怖さだけを強調し、個人情報を失われかけた人たちの「痛み」には全く目を向けない。そのあまりにも横柄な態度に発する言葉さえ見つかりませんでした。
この2つは極端な例かもしれません。ただ、後者の自治体には個人情報漏洩事件の本質とも言える部分が隠れているように思いました。その横柄な態度はもちろん、見つかって万歳、とするその企業(この場合は自治体ですが)体質。
個人情報流出事件の場合、「紛失した」ということだけが問題ではありません。この自治体の場合だと、「個人情報が入ったCD-ROMを紛失しまうような体制であったこと」、また「紛失したと勘違いするようなワークフローが存在していたこと」が問題なのです。
そこに問題意識を持ち、徹底的に調査をすること。そしてそれを従業員全員で共有し、再発防止策を立てて改善していかなければ、事態は何も変わりません。ましてや、報道の窓口になる人間が上記のようでは、次は本当に「紛失」という最悪の事態を招くのではないでしょうか。これは明らかな「人災」です。
このような「大事に至らなかった」事件や、報道されないような小さな事件は、世の中で毎日のように起こっているでしょう。「大事に至らなかった」ために、世間はおろか、当事者の従業員までもが忘れてしまう事件がたくさんあるのだと思います。
失敗を忘れて、また失敗を繰り返す。この負のスパイラルが個人情報漏えい事件がなくならない一つの原因ではないでしょうか。
この対応が「自治体」であったことに、さらに私は失望を感じました。なぜなら、自治体が提供しているサービスは生活に密着しており、他の機関や団体が代行してくれないものが多くあります。それを「切る」ことは、すなわちその地域で生活する道を「絶つ」ことなのです。「今後一切利用しない」という選択をとることはできません。
今回の出来事を通じて、情報流出を起こしてしまったあとの対応策が非常に重要であることを改めて実感しました。事件が起こってしまった後こそ、企業の本当の「質」が問われるのです。そして、その事後対応や対策によって企業や組織の真の姿を垣間見ることができるのかもしれません。
※本稿は日経パソコン オンラインの「記事の芽」に掲載した記事を加筆・修正したものです。
