3月1日の各紙が、西日本電信電話の元社員による個人情報持ち出し事件の調査結果を報道していました。約930万件の個人情報を持ち出し、名簿業者に売っていた事件です。西日本電信電話株式会社の発表(2月29日)
・・・NTT西日本の子会社の元派遣社員が約930万件の個人情報を不正流出させた問題で、NTT西の森林正彰社長は29日、3月末に引責辞任すると表明した。社外の弁護士らを入れた調査委員会の調査では、情報流出の確認を求めた顧客への虚偽回答が判明。グループ全体の企業統治に課題が突きつけられた・・・(朝日新聞「NTT西社長、引責辞任 個人情報928万件流出 調査委「重大な不備」」)
もちろん不正に持ち出した社員が悪いのですが、それを防げなかった組織、顧客から指摘を受けて行った調査の杜撰さが明らかになっています。そして、それを生んだ組織文化(社風)も。
調査報告書は、280ページに及ぶ大部なものです。社員に学習させるためにも、要約版をつくってほしいです。要点は次のようなものです。日本を代表する情報通信企業がこのような実態にあることは、唖然とします。
1 個人情報不正持ち出しを防ぐことができなかったことについて(23ページ、26ページ、29ページ)
・サーバーにアクセスするアカウントが共有されていた
・外部記録媒体への書き出しが禁止・制限されているのに、私有USBへの書き出しがされていた
・情報漏洩を監視するためログを定期的に確認することになっていたのに、行われていなかった
・犯罪を行った社員は上長による監視がなく、野放し状態
2 顧客の依頼で行われた社内調査での隠蔽(69ページ以降)
・USBで情報が持ち出されたのに、USBポートが「ない」と回答
・暗号化ソフトは未整備なのに、「整備済み」と回答
・ログを改変し隠蔽した上で、「問題なし」と回答
3 社内調査の評価(58ページ)
・社内調査では、調査担当者たちは不正持ち出しを発見することすらできておらず、問題点の見直しも行わず、不正持ち出しの継続を許していた。(本委員会は、社内調査担当者が隠蔽したのではないかと調査したが)隠蔽より問題がある。
・調査とは似ても似つかない杜撰な作業。事なかれ主義的対応を繰り返し、果てには虚偽回答まで至ったことは唖然とする
4 組織文化
・情報セキュリティ社内規則が守られていない(29ページ)
・自主点検において不正確な報告がなされている(35ページ)
・外部からの不正侵入への意識はあるが、内部不正による情報漏洩リスクへの意識が希薄(45ページ)
・顧客の依頼で行われた社内調査は、上司への状況報告(エスカレーション)が行われていなかった(67ページ)
・自主点検結果には○をつけなければいけないという「無謬性への執着」があった(182ページ)
・自己の責任範囲でなければ積極的に解決にあたらないという「自分事として捉えない行動様式」「前例踏襲」「事なかれ主義」「現場任せ」(182ページ)