今回は、内部通報制度の話ではなく、年金機構の情報流出問題を題材に内部統制について検討します。
日経コンピューターの記事によると、「職員がウイルスの仕込まれた添付ファイル付きのメールを受信した後、添付ファイルを開いて不正アクセスが実行されたこと。不正アクセス先はLANにつながるファイル共有サーバーだった」(引用元記事)とのことです。そして、ファイル共有サーバーでの管理については、「個人情報をファイル共有サーバーに格納することは原則禁止という。格納する際は、アクセス制限をかけたりファイルに「人に推測されにくいパスワード」 (同)を設定。さらにどんなファイルを格納したかを一覧にして総務部に報告することを課していたという。ただしパスワードの設定は職員に任せており、格納 のたびに第三者が確認することはなかった」「今回漏れた125万件のうち、約55万件はパスワードが設定されていなかった。」(引用元記事)とのことです。
内部統制の面から今回の事件を題材に2つの場面に分けて問題点を考えてみます。
まず、不正アクセスが行われる事前の場面において、常日頃から添付ファイルは不用意に実行してはならないとの教育が、しっかり行われていたかどうかという点が問題となります。ウイルスメール等は、通常のメールのような外観を装っており、ついついメールを開封してしまうこともあると思います。しかし添付ファイルの形式が仕事で使わないものであれば、そこでメールを削除し、そのようなメールが来ていることを報告し、情報共有することができれば、不正アクセスを未然に防ぐことができます。事前の教育を具体的な場面を想定して行い、もし何か異変があればすぐに情報共有するといった共通理解を十分に行うことが重要となります。
次に、実際に不正アクセスが行われてしまった場合の問題です。今回はファイルサーバーで管理されていたファイルが漏洩したということですが、仕事の効率上、一般の会社においても重要な情報をファイルサーバー等の外の世界とつながる状態で管理することもあると思います。その場合のセキュリティをどのレベルでかけるかは会社の規模等によっても異なると思います。年金機構では個人情報をファイル共有サーバーで管理する場合、パスワード設定がルールであったそうですが、それをチェックする体制がなく、実際に約4割のファイルにはパスワードが設定されていませんでした。内部統制体制の整備・運用という点からすると、整備した体制をチェックするという運用の面で問題があったことになります(個人情報をパスワードだけでファイルサーバー上で管理するということの合理性を検討することも可能ですが)。整備したルール等は、それが完全に守られない場合があることを前提として、その漏れをいかに減らすかということを十分理解して、その対応を社内で行うことが必要になってきます。
(SRM NETWORK 顧問弁護士 植野礼央)
コメントを残す