SRM NETWORK

今回は、内部通報制度の話ではなく、年金機構の情報流出問題を題材に内部統制について検討します。

 

日経コンピューターの記事によると、「職員がウイルスの仕込まれた添付ファイル付きのメールを受信した後、添付ファイルを開いて不正アクセスが実行されたこと。不正アクセス先はLANにつながるファイル共有サーバーだった」（引用元記事）とのことです。そして、ファイル共有サーバーでの管理については、「個人情報をファイル共有サーバーに格納することは原則禁止という。格納する際は、アクセス制限をかけたりファイルに「人に推測されにくいパスワード」 （同）を設定。さらにどんなファイルを格納したかを一覧にして総務部に報告することを課していたという。ただしパスワードの設定は職員に任せており、格納 のたびに第三者が確認することはなかった」「今回漏れた125万件のうち、約55万件はパスワードが設定されていなかった。」（引用元記事）とのことです。

 

内部統制の面から今回の事件を題材に２つの場面に分けて問題点を考えてみます。

まず、不正アクセスが行われる事前の場面において、常日頃から添付ファイルは不用意に実行してはならないとの教育が、しっかり行われていたかどうかという点が問題となります。ウイルスメール等は、通常のメールのような外観を装っており、ついついメールを開封してしまうこともあると思います。しかし添付ファイルの形式が仕事で使わないものであれば、そこでメールを削除し、そのようなメールが来ていることを報告し、情報共有することができれば、不正アクセスを未然に防ぐことができます。事前の教育を具体的な場面を想定して行い、もし何か異変があればすぐに情報共有するといった共通理解を十分に行うことが重要となります。

 

次に、実際に不正アクセスが行われてしまった場合の問題です。今回はファイルサーバーで管理されていたファイルが漏洩したということですが、仕事の効率上、一般の会社においても重要な情報をファイルサーバー等の外の世界とつながる状態で管理することもあると思います。その場合のセキュリティをどのレベルでかけるかは会社の規模等によっても異なると思います。年金機構では個人情報をファイル共有サーバーで管理する場合、パスワード設定がルールであったそうですが、それをチェックする体制がなく、実際に約4割のファイルにはパスワードが設定されていませんでした。内部統制体制の整備・運用という点からすると、整備した体制をチェックするという運用の面で問題があったことになります（個人情報をパスワードだけでファイルサーバー上で管理するということの合理性を検討することも可能ですが）。整備したルール等は、それが完全に守られない場合があることを前提として、その漏れをいかに減らすかということを十分理解して、その対応を社内で行うことが必要になってきます。

 

（SRM　NETWORK　顧問弁護士　植野礼央）

 

「公益通報者保護法と内部通報制度①」において、公益通報者保護法は労働者保護を目的としていると書きました。そこで、今回は、具体的にどこに通報した場合に、どのような保護を受けられるのかを検討していきます。

 

保護の内容については、公益通報者保護法において、

３条：解雇の無効

４条：労働者派遣契約の解除の無効

５条：不利益取扱いの禁止

が規定されています。

 

そして、３条においては、解雇が無効となる条件が、通報先によって異なると規定されています。少し長いのですが、３条は以下のとおりです。

第三条 　公益通報者が次の各号に掲げる場合においてそれぞれ当該各号に定める公益通報をしたことを理由として前条第一項第一号に掲げる事業者が行った解雇は、無効とする。

一 　通報対象事実が生じ、又はまさに生じようとしていると思料する場合　当該労務提供先等に対する公益通報

二 　通報対象事実が生じ、又はまさに生じようとしていると信ずるに足りる相当の理由がある場合　当該通報対象事実について処分又は勧告等をする権限を有する行政機関に対する公益通報

三 　通報対象事実が生じ、又はまさに生じようとしていると信ずるに足りる相当の理由があり、かつ、次のいずれかに該当する場合　その者に対し当該通報対象事実を通報することがその発生又はこれによる被害の拡大を防止するために必要であると認められる者に対する公益通報

イ　前二号に定める公益通報をすれば解雇その他不利益な取扱いを受けると信ずるに足りる相当の理由がある場合

ロ　第一号に定める公益通報をすれば当該通報対象事実に係る証拠が隠滅され、偽造され、又は変造されるおそれがあると信ずるに足りる相当の理由がある場合

ハ　労務提供先から前二号に定める公益通報をしないことを正当な理由がなくて要求された場合

ニ　書面（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。第九条において同じ。）により第一号に定める公益通報をした日から二十日を経過しても、当該通報対象事実について、当該労務提供先等から調査を行う旨の通知がない場合又は当該労務提供先等が正当な理由がなくて調査を行わない場合

ホ　個人の生命又は身体に危害が発生し、又は発生する急迫した危険があると信ずるに足りる相当の理由がある場合

 

すなわち、通報先が１項が会社、２項が行政機関、３項がマスコミ等と異なっており、そして保護される要件が、１項から３項に行くにしたがって厳しくなっています。

 

このように公益通報者保護法は、通報先によって保護されるための要件が異なり、労働者の方が使いやすい制度とは必ずしもいえません。

 

内部通報制度においても、公益通報者保護法と同様の保護内容だが、保護される要件を法律よりも緩和する規定とし、通報先として会社や弁護士事務所等の外部機関を規定することにより、内部通報の実効性を法律以上に確保することを可能とすることができます。

ただ、保護される要件を緩和すると、内部通報制度とは関係のない個人的な事柄の相談や、仕事への不満等が通報されることになるおそれもあります。その点に対しては、関係のない通報を全て排除することはできませんが、内部通報制度の適切な社内告知等で、徐々に従業員の方へ制度趣旨を理解してもらうといったことが重要になってきます。

 

（SRM　NETWORK　顧問弁護士　植野礼央）