「温故知新」という言葉がある。或る1980年代後半の判例を今振り返ると、われわれに情報セキュリティマネジメントについて貴重な教訓を与えてくれる。それは社内における教育啓発の重要性という点である。あるべき内部統制の姿を探るためにも、読者に知っておいてもらいたい。
この判例は情報漏えい事件をめぐるものだった。当時としては、まだ珍しいタイプの事件である。やや特殊な事案なので、最初に事件の経緯を少し詳しく説明する。
事件の舞台は地方の信用金庫である。この信用金庫には労働組合があった。だが、内輪もめが起こり、組合は事実上分裂してしまった。その後も新旧執行部の対立が続いていた。
分裂前の組合には多額の組合費が設立以来蓄えられてきた。それはこの信用金庫に預金されていた。ところが、新執行部は東京デイズニーランドへの組合員旅行を企画した。それによって預金の大部分が費消されることが予想された。
旧執行部は、旅行への支出により組合財政が破綻することを恐れた。このため、組合財産を守るには、組合預金の払戻などを禁止する仮処分を申請するしかないという結論に達した。そのためには預金残高を確認する必要があった。ところが、組合口座の名義人として通帳・印鑑を握っていた会計担当者は、新執行部側の支持者だった。その結果、旧執行部が残高を確認しようとしても、協力を得ることが難しい状況となっていた。
ここからIT関連の話になる。信用金庫では当時、すでに預金処理についてオンラインシステムを導入していた。そのための内部ルールとして、オンライン事務取扱要領も定めていた。「取扱要領」には、オンライン端末機の管理に関し、担当職員は操作に必要なオペレーターキーの貸与を禁止すること、担当職員のみがこれを操作すべきことなどが規定されていた。
旧執行部の代表である執行委員長は困り果てた末、端末機の操作方法を知っている部下に依頼して、組合預金の残高を確認してもらうことにした。しかし、この部下には端末機操作の権限はなかった。彼は、操作担当者がオペレーターキーを装着したまま離席したすきに、端末機を使って組合預金の残高を確認した。
だが、まもなく事態は露見した。端末機操作を目撃した職員から通報があった。設置された防犯カメラは部下の行為をとらえていた。そのため、わずか数カ月後、執行委員長らは就業規則に基づいて信用金庫から懲戒処分を受けた。
執行委員長は自らが受けた停職処分を不服に思った。そこで、停職処分が無効であるとして、信用金庫を相手取って裁判を起こした。信用金庫側は、就業規則の「規定違反」「秘密漏洩」「職員としての不適格非行」に該当するので停職処分は有効であるとして争った。
ずいぶん経緯の説明が長くなった。以下では、この事件に対する裁判所の判断について説明してみよう。
一審の前橋地裁昭和61年5月20日判決(判例時報1253号136頁)では、原告の執行委員長側が勝訴し、停職処分は無効であるとされた。
この判決は、事実上分裂したとはいえ執行委員長は組合の代表者なので「秘密漏洩」といえないこと、目的は私利私欲でないこと、信用金庫に損害を与えていないこと、組合財産を守る必要と緊急性があり、仮処分申請の前提としてやむを得なかったことなどを、処分を無効とする理由として判示した。
しかし、それと並んで、「端末機の操作に関しては、現実には、被告が想定していたその取扱要領に反する運用がなされていたため、原告において、端末機操作担当者以外の従業員が、被告に何らの損害を及ぼすおそれのないような操作をすることについて、さほど重大な非違とは考えていなかったこと」を指摘している。
この指摘には注意が必要だ。つまり、ここでは「取扱要領」が有名無実化しかけていたことが重視されている。そのため、重い懲戒処分をもってのぞむのは「著しく不合理であり、社会通念上相当性を欠いたものといわざるをえない。」としたのである。実効性を欠いた社内ルールは、裁判の場でも意味が乏しいという判断だ。
一審で敗訴した信用金庫側は、これを不服として控訴した。
東京高裁昭和62年8月31日判決(判例時報1253号134頁)では、信用金庫側が逆転勝訴した。停職処分を有効としたのである。
控訴審判決は、一審判決が述べた理由に対し、さまざまな反論をおこなっている。
肝心の「取扱要領」の有名無実化という点については、どのような判断を示したのか。判決中の関連する部分を以下に抜き出してみた。「控訴人」とは信用金庫、「被控訴人」とは執行委員長を指している。
《東京高裁昭和62年8月31日判決・抜粋》「巷間でオンライン利用の犯罪が多発する折柄、控訴人においても職員の間で端末機が必ずしも右事務取扱要領に従って運用管理されていない実状にあったので、控訴人は・・・改めて『オンライン端末機操作用の役席カード、オペレーターキーの運用及び管理について』と題する文書を各店長宛に交付し、説明会を開くなどして前記事務取扱要領に従い端末機の扱いを周知徹底させるべく努力していた・・・。したがって、控訴人の職員としては前記事務取扱要領に従い端末機の不正使用等のないよう心掛け、もって金融機関としての社会的信用の保持に努めなければならない義務を負うものというべきところ、被控訴人は、あえて組合の担当者に預金高の開示を求めるなどの手段を踏まず就業時間中に顧客照会カード用紙を盗ませ管理者が席を離れた隙に端末機を不正操作させた行為は前叙の義務に違反する著しい非行といわざるを得ない。」「端末機の取扱いを厳格にするよう指導を強化した矢先に職員により私的な目的のために端末機が不正に操作されたことは控訴人に少なからざる衝撃を与えたものというべきであって、対社会的信用を重んずる金融機関としては財産的損害に優るとも劣らない被害を受けたものといっても過言ではない。」
控訴審判決も、「取扱要領」が有名無実化しかけていたことは事実であると認めている点では、一審判決と変わらない。しかし、それを危惧した信用金庫側が「取扱要領」に従った扱いを周知徹底させるべく努力していたことを重視した。それにもかかわらず、その矢先に違反行為をおこなったのだから、違反した責任は重いとしたのである。
両判決のどちらが正当か、事件の発生から約20年が経過した今、事件関係者でもない私が、ここで論じるつもりはない。情報セキュリティマネジメントにいうPDCA(Plan- Do- Check- Act)サイクルの「D」には教育啓発活動が含まれるが、そうした事実を裁判所が判決の際にご存じだったのか、時代を考えれば「否」ということになりそうである。
だが、せっかく社内ルールを作っても、日ごろから、きちんとした教育啓発活動をおこなっていなければ、ルールの実効性は保てない。これでは「絵に描いたモチ」である。それだけでなく、万一の場合に裁判所で保護してもらうことも困難になる。そうした教訓を、この事件は示している。
前回のコラムに対し、多くの読者から肯定的な評価をいただいたが、「実効性がなければ社内ルールは無意味」というご意見もあった。まったくそのとおりである。それだけに、実効性確保のための教育啓発が大切になる。内部点検・監査なども同様であるはずだ。
舞台となった信用金庫の名称は、ご多分にもれず、その後における合併の繰り返しによって現在では消滅してしまった。だが、判決が示した教訓の重さだけは、昔も今も変わらない確かな事実であるようだ。
