【雑感】遅まきながらベネッセHD個人情報漏えい事件について思うこと

【8月1日、さくらフィナンシャルニュース=東京】

●ようやく第三者委員会設置

　企業不祥事としては、今年の代表的な事件となるであろうベネッセホールディングス社の個人情報漏えい問題(不正競争防止法違反事件)ですが、なかなか犯人逮捕までは事実関係も把握できなかったので、ブログでのコメントは差し控えさせていただきました。

　ようやく第三者委員会の設置も決まり、まだまだ新事実が出てくるものとは思いますが、現時点までに判明しているところからの感想を述べさせていただきます。あくまでも個人的な意見でございます。

　今回のベネッセの問題を企業コンプライアンスの視点から考えますと、大きく分けて内部統制と危機広報の問題が検討すべきポイントだと思います。そのうち、危機広報に関する論点は、現在連載中の月刊誌「広報会議」で述べることとしまして、ここでは内部統制に関連する論点だけ触れておきます。

　もう当ブログでも何度も申し上げておりますので、とりたてて新しい意見ではないのですが、内部者による情報漏えい対策について考えるべきことは、

　・「不祥事は起こしてはいけない」という発想で対応するのか
　・「不祥事は起きる」という発想で対応するのか

　御社はどっちですか、という点に尽きると思います。

　●リスクへの感度

　アクリフーズ社の食品農薬混入事件の第三者委員会報告書(最終版)でも明らかにされたように、社員の故意による農薬混入を完全に防止することは困難だったとしても、昨年12月の農薬混入までの半年間に13件ほどの「異物混入」の事実が判明していた(もちろん、これらの異物混入が誰の仕業かは不明なのですが)ということですから、もう少し早くリスクへの感度を上げることはできなかったのかどうか・・・ということが焦点となりうるのです。

　「当社において、不祥事は起こしてはいけない」という発想が強くなりますと、情報管理をどこまで徹底するか、という事前規制と、社員教育や厳格なペナルティということに配慮することになります。もちろん不正の防止という点は大切ですし、社員教育も委託業者を含めて徹底することも必要でしょうが、はたして企業の費用対効果…という点からみて本当に徹底管理は可能なのでしょうか。それだけ徹底すれば現場での情報活用に時間と手間を要することになり、営業面で他社には遅れをとることになり、情報管理にとんでもない経費もかかります。また、どうしても管理ルールに反するような運用を許容せざるをえない場面も出てきますので、ルールに例外的処理が増えて、ブラックボックスを許容する雰囲気が蔓延することにもなりかねません。

　「不祥事は当社でも起きる」という発想で考えるのであれば、たとえば個人情報漏えい事件は発生することを前提として、ではいかに早期に情報流出の事実を発見するか、という点にリスク管理の重点を置くことになります。

　ベネッセの事件においても、犯人が最初に情報を流出させてから、会社が気が付くまでに約半年を要したとされ、もっと定期的にアクセス情報やコピー履歴をチェックしていれば早期に発見できたのではないか、と報じられています。つまり内部統制システムの整備は十分に行われていたのですが、内部統制システムの運用面に問題があった、という典型的な例です。

　ベネッセの事例では、犯人逮捕後に判明したことですが、犯人は670万件の個人情報をコピーして名簿業者に売却した後、さらに2000万件の情報をスマホにコピーしていました。しかし、会社が情報流出に気づき、社内調査を始めたことを犯人が知ったことから、その2000万件については名簿業者に売却するのをあきらめたと報じられています(なお、追記をご参照ください)。

　つまり、不正の早期発見はさらなる不正を予防するという意味でも大きな意義を有していたことになります。ホワイトカラーによる会社資産流出事件特徴は、最初はバレないかどうか不安なために、ほんの少し流出させ、バレないとわかるや大胆な手口に発展していくというものです。

　したがって、今回のベネッセの例でも、もし定期的なチェックをもって早期発見が可能だったとすれば、もっと被害は少なくて済んだ可能性があります。

　●不祥事は必ず起きるという発想

　「不祥事は必ず起きる」という発想での内部統制は、どうしても性悪説に立った対策となるために経営者の賛同が得にくいのが実際のところです。また、内部統制の運用面を重視するので、たいへん地道な努力が求められます。

　しかし、他社とのし烈な競争を繰り広げている会社が、スピード経営を犠牲にしてでも「情報漏えいを完全に防ぐための徹底した情報管理」など、掛け声としては素晴らしいとしても、ほとんど不可能ではないでしょうか。収益を上げながらも、顧客の安全に配慮するのであれば、自社でも不祥事は起きることを前提に、いかにして安全被害を最小限度に抑えるか・・・というバランス感覚を持つことが必要です。

　そうでなければ、いつまでたっても「掛け声だけのコンプライアンス」という思考停止状態からは抜け出せず、不祥事のたびに社長が謝罪会見を繰り返す・・・ということになってしまう気がします。

(追記)

　7月22日のベネッセ発表によると、実際に個人情報が漏えいしたのは760万件ではなく、2260万件であったとのこと。「最大でも2070件」と発表していたのですが、それ以上の漏えいが確認されたそうです。

　なぜ、いまごろになって数字が訂正されるのか。また、このこと自体が問題視されそうですね。【了】

　山口利昭(やまぐちとしあき)/山口利昭法律事務所代表弁護士。大阪府立三国丘高校、大阪大学法学部卒業。大阪弁護士会所属(平成2年登録 司法修習所42期)。現在、株式会社ニッセンホールディングス、大東建託株式会社の社外取締役を務める。著書に『法の世界からみた会計監査 弁護士と会計士のわかりあえないミソを考える』 (同文館出版)がある。ブログ「ビジネス法務の部屋」より、本人の許可を経て転載。

■関連記事
・ベネッセから流出した名簿が転売されたジャストシステム、後手にまわった対応
・ベネッセHD:会長兼社長にマクドナルド会長の原田氏が就任、福島現社長は副会長に
・30日の減益発表企業、三菱自動車、花王、ANA、ベネッセなど