報道によると、プロ野球交流戦スポンサー企業の元従業員が、プロ野球の選手の個人情報をネットに掲載し、球団業務を妨害した疑いにより、逮捕されました。本日は、この事件を通じて、顧客情報の漏えいについて、考えてみます。
従業員が、顧客情報を取得して意図的に開示したうえで、脅迫まがいのコメントを書き込んでいたものです。顧客情報に接することが可能な従業員による意図的な漏えいは、防ぎようがありません。
「いっぱいやりすぎて覚えていない」と供述しているそうですから、繰り返し犯行に及んだと推察されます。動機が判明していない為、行為の意図は分かりません。そこで、意図的な犯罪行為を防ぐという観点で、考えてみることにします。
一般に、動機、機会、正当化の3要件が揃うと不正行為が起こると言われています。今回は不正行為ではなく、常軌を逸した行為です。それゆえ従来の考え方と異なる観点で考えてみると、著名人に対して危害を加えたいという衝動でしょうか。
一般的な企業においては、著名人の情報には、フラグを立てたりグルーピングを行い、アクセス記録は、システムの担当部署が監視し、同一人物が複数回アクセスするなどの異常値を感知した場合は、当該マネージャーへ連絡し、不適切なアクセスではないかを調査しています。具体的には、当該顧客とのやり取りの記録を確認し、アクセス日との整合性を確認することです。
また、従業員に対しては、顧客情報は業務上最低限のアクセスに留め、社外に流出させることは禁止行為である旨、コンプライアンス研修などで教えています。しかし、常軌を逸した行為には、禁止行為の押し付けは無力でしかありません。
研修により対策を講じるならば、顧客情報に一定数以上アクセスしたり、情報を印刷すれば、社内調査の対象となり、必要以上の実態があれば、措置や処分を受けることあると知らしめていくことも、対策となり得ます。
調査手法を開示したり、処分をチラつかせることには反対と言うご意見もありますが、見えない、把握できない犯罪者という観点では有効です。仮に、意図的に著名人情報に複数人、複数回アクセスした従業員がいても、マネージャーが調査を行う監視体制に入る訳ですから、早期発見や被害拡大防止になり得ます。
情報漏えいに関する事件や被害については、新たな手口が次から次へと出てきます。これ以上は難しいと諦めることなく、ひとつひとつの異常事象を感知する仕組みを作り、早期発見と自浄作用を徹底していくことが、企業として健全な運営を維持していくことに繋がると思います。他社であることは自社にもあるという考え方を経営者が持つことが、大切です。
コメント