元勤務先のネットワークへ侵入し、人事データなどを削除した疑いで、会社員が逮捕されました。会社は、多額の復旧費用を必要としたそうです。本日は、避けられない事情があるとは思いますが、コンプライアンス上の未然防止策について、考えてみます。
一般的な企業では、退職と同時に社員IDとパスワードを消去して、退職社員がアクセスできないようにします。退職日の翌日からアクセス不可とする為には、人事部門からシステム部門へ事前に退職情報を共有する必要があります。加えて、システム部門は、退職日までに当該操作を完了し、確認する必要があります。
この一連の流れが仕組み化されていないと、事件が起こる環境が整います。退職社員の中には、会社に恨みを持っている人もいるので、退職直後は、仕返しを行う絶好の機会です。退職社員が人事やシステム部門の場合、特殊IDや、権限範囲が広いIDを保有しているので、要注意です。今回の事件は、退職社員の所属部署がそういう立場にあり、元同僚のIDとパスワードを使って侵入したようです。
他社にて、こういう事件が起きる都度、経営者は、人事とシステム部門に対し、退職社員が退職日翌日に、会社システムにアクセスできるか、検証しておくよう指示し、報告を求めると良いと思います。また、パスワードを定期的に変更する仕組みを作るなど、パスワード盗難対策も検証しておくべきです。
今回のシステムリスクは、システム部門だけのリスクではないという典型的な事象です。他社の不祥事を自社の改善機会と捉えることを習慣化しましょう。データ復旧費用などは、高額になることは確実です。サーバーリスクを補償する保険に加入しているかどうかも、合わせて確認しておきましょう。
コメント