企業による個人情報流出事件、なぜ起きる？

企業において個人情報流出事件は決して他人事ではない

通信教育大手のベネッセコーポレーション（以下ベネッセ）で起こった個人情報流出事件。情報セキュリティ規格に基づいて、セキュリティ・ポリシーを策定、運用している企業であっても他人事ではありません。事実、ベネッセはプライバシーマーク認定事業者でありながら、大規模なな個人情報の流出事故を起こしました。

さらに、ベネッセの顧客データベースの保守管理を委託されていたグループ企業・シンフォームズは、「ISMS（企業などの組織が情報を適切に管理し、機密を守るための包括的な枠組み）」を取得。個人情報の取り扱いにおいて、全社員への教育実施や各組織に個人情報責任者を設置するなどの運用を徹底していたと言います。

しかしながら、特定のデータベースから情報が漏えいしたことは事実として起きてしまいました。情報セキュリティ規格が画餅となった今回の事件から、企業による個人情報流出事件の発生要因、防止策を考えてみましょう。

個人情報は、希少価値の高い「経営資源」

ベネッセの個人情報を流出させた派遣社員のシステムエンジニアは、警視庁の任意の事情聴取やベネッセの社内調査に対し、「カネ目当てだった」「自分から名簿業者にデータの買い取りを持ちかけた」と話しているそうです。

企業にとって個人情報は、信用の上に入手が成り立つ希少価値の非常に高い「経営資源」です。特に通信教育事業者にとっての個人情報は、事業の根幹を支えるはずの経営資源のはずです。しかし、ベネッセは、顧客データベースの保守管理を外部委託した上に、委託先の派遣社員に情報を取り扱わせるなど、個人情報管理に対する「経営資源」としての認識が甘かったことは否めません。

今日の企業経営において、アウトソーシングは、コア事業へ経営資源を集約するための有効な手段のひとつです。そして、アウトソーシングに適した業務の代表格に、高い専門性を要する「ITインフラの管理・メンテナンスに関わる業務」が挙げられます。

一方、孫請けの機密情報従事者に対し、ベネッセグループへの忠誠心やロイヤリティを期待するに値するほど、十分な待遇や立場を保証しているでしょうか。重要な「経営資源」の管理コストを、安上がりに済ませようとした点に根本的な問題があるのではないでしょうか。コスト削減の結果、低賃金の機密情報従事者に過剰な権限を与えたことにより、企業としてのセキュリティレベルが低下した典型的な事例であると言えるでしょう。

機密情報従事者に、それ相応の待遇を用意することが真の予防策

ただし、突き詰めて考えれば、人が組織で働く以上は、正社員も派遣社員も関係はありません。使用者側は、一人の人間の道徳心が欠如した悪行が「全社的に甚大な影響をもたらす」という考えを持つことなく、企業の機密情報に従事させていることが問題の根底にあります。

流出すれば事件になるような機密情報従事者には、それ相応の待遇を与えるのが真の予防策であり、そこまで含めて危機管理と言えるのではないでしょうか。個人情報に限らず、企業の秘密情報を流出させない最も有効な対策、それは人事管理そのものであるのです。