罰金「約24億円超」の例も…個人データ保護の非対応は大罪か

「適切な情報の取り扱い」は国によって異なります。ルールの確認を怠ると、思わぬ情報漏えいや法律違反が起こりかねません。また、働き方や人材が多様化する現代においては、企業を取り巻く環境の変化に合わせ、情報セキュリティ対策を再構築していくことが大切です。本記事は『そのセキュリティ対策が会社を潰す』(幻冬舎MC)から抜粋・再編集したものです。

「人種のダイバーシティ」という見逃せないトピック

残念ながら、情報セキュリティ対策は「一度完成したら終わり」というものではありません。企業を取り巻く環境や法令などの社外環境、取り扱う情報の性質などに基づいて構築されていきますから、これらが変化すれば情報セキュリティ対策もまた変化しなければならないのです。そのため必要となるのが定期的なメンテナンスです。

 

一昔前に比べて、現代の企業を取り巻く状況はめまぐるしい変化を続けています。とりわけ「従業員のダイバーシティの高まり」と「技術革新」は、情報セキュリティを適正化するにあたって、非常に重要な変化です。

 

近年、進む少子高齢化による労働人口の減少の対策として、よく耳にするのが「ダイバーシティ(多様性)」という言葉です。年齢、性別、国籍を問わず多様な人材を積極的に活用しようという考え方で、現在、多くの企業が取り組み始めています。

 

なかでも人種のダイバーシティは、企業の情報セキュリティにおいて見逃せないトピックの一つです。

 

厚生労働省の「外国人雇用状況」によると、日本で働く外国人の数は年々増加傾向にあり、2019年10月末時点で過去最高の165万8,804人を記録(2007年に届け出が義務化されて以降)。また、外国人を雇用している事業所の数も過去最高の24万2,608箇所となっています。2018年末には首相官邸から「外国人材の受入れ・共生のための総合的対応策」が発表されており、「暮らしやすい地域社会づくり」や「適正な労働環境等の確保」「外国人材の適正・円滑な受入れの促進に向けた取組」などの関連施策には合計で211億円が確保されるなど、今後も政府主導のもと積極的な支援が進むと考えられます。

 

彼らが日本の職場で働くようになることで、情報セキュリティ上の問題として浮かび上がってくるのが、適切な情報の取り扱い方についての教育です。国によって著作権や個人情報についての「常識」は大きく違います。「他者の著作物を無断で使用してはならない」「個人情報を流用してはいけない」といった日本なら当たり前のルールを、一から丁寧に説明しなければならない可能性も十分あります。

 

従業員の人種のダイバーシティが高まるということは、こうした教育環境の整備が必要になるということでもあるのです。

 

情報の取り扱いに関し、
日本における情報ルールを明示しないと、思わぬ「違反」が生じるリスク

多様な働き方には「多様なセキュリティルール」で対応

働き方のダイバーシティも重要なトピックです。たとえば、経済産業省が行っている「新・ダイバーシティ経営企業100選」(平成30年度)に選ばれた住友林業株式会社では、次のような仕組みを導入し、従来のような画一的な働き方ではなく、多様な働き方を可能にする環境を整えています。

 

●育児や介護で忙しい従業員に対応できるフレックスタイム制度

●在宅勤務制度

●シニア人材の活躍を促進するためのキャリアプラン作成

●社内での定年再雇用を効率化するマッチングシステムの開発

 

このような、多様な働き方が認められるようになるということは、情報の取り扱いについての多様化も進むと考えられます。たとえば、従業員がテレワークやBYOD(Bring your own device:従業員が個人のパソコンやスマートフォンを職場に持ち込み、業務に使用すること)を行う機会や、ITの知識を持たない人がタブレットやスマートフォンなどの会社支給の端末を使う機会が増えるといったものです。

 

こうした状況に対応するためには、既存の情報セキュリティマネジメントシステムを見直し、適切なルールや教育制度を整えなければなりません。

「現地の法律」を熟知し、遵守する対応が必要に…

一国の経済規模の変化を長期的なスパンで見ると、おおむね人口の増減に一致するといわれます。そのため、今後、日本でも高い確率で経済規模が縮小していくと考えられます。

 

日本の市場が縮小するのであれば、企業は海外に市場を求めざるを得ません。しかしいままで日本国内だけで事業を展開していた企業が、海外の企業と取引をしたり、海外拠点を置いたりするとなれば、情報セキュリティ対策をどうするかという問題に直面します。日本に個人情報保護法や著作権法など情報セキュリティ関連の法律があるように、海外にも同様の法律があります。それらは日本の法律と異なる点があるので、情報の取り扱い方を他国の法律に則った形に調整する必要があるのです。

事業規模拡大に応じて、セキュリティを強化した事例

<A社の概要>

業種:インバウンドプロモーション支援会社

従業員数:50人

 

年々増加を続けている日本へのインバウンド。訪日外国人向けのサービスも増え続けています。しかしこうしたサービスをうまくプロモーションし、売上増につなげる仕組みには、まだまだ課題が山積みで、A社はそうした課題に対する解決策を提供するサービスを展開している会社です。

 

インバウンド市場の拡大に伴って、事業拡大のための人員補充に踏み切ったA社でしたが、ここで問題が発生します。大学時代の仲間5人が集まって立ち上げた会社が、人員補充で短期間のうちに従業員が人に増え、取引先の情報管理がままならなくなったのです。

 

通常、従業員数が30人くらいまでなら、「人を信じるセキュリティ」で十分な情報管理が可能です。お互いがどんな人間かを理解しているので、「あの人なら任せておいても大丈夫だけど、あの人の場合は注意が必要」という管理ができるからです。

 

しかし50人を超えたあたりから、すべての従業員の人となりを把握するのが難しくなっていきます。そのため、ルールを設けて、ある程度システマティックに管理していく必要が出てくるのです。

 

しかもA社は事業の性質上、中国人留学生をはじめとする海外人材も多く雇用したので、社内の価値観が多様化。著作権や個人情報に対する考え方も日本とは大きく違うため、日本人だけの会社よりも管理の難易度が高くなっていました。

 

まだ大きな問題は生じていなかったものの、その兆しはすでにありました。たとえばプロモーションキャンペーンを行う際には、必ず個人情報の収集が行われます。A社では利用しなくなった個人情報を保持することのリスクを考慮して、キャンペーンが終了すると完全に削除していました。しかしこれはあくまでA社内の元からいるメンバーが考えた運用方法で、新しく入ってきたメンバーのなかには、「次のプロモーションに活用すればいいのではないか」と考えてしまう人もいました。

 

そのような従業員に対しては、なぜ完全な削除が必要なのかを説明するところから始めなければなりません。同じ日本人でもいままでの商習慣によって価値感が違う場合は説明が大変になりますが、海外から来ているメンバーの場合は生まれ育った環境も違えば、言語も違うわけですから、抽象的な説明を理解してもらうのは至難の業です。時間もかかるうえに、成果も出ていませんでした。会社の信用を脅かすような事態が起きる前に、対策を打つ必要があったのです。

 

A社のケースで特に力を入れたのは、「読めばだれでも実践できる」というレベルのマニュアルをつくることでした。外国人が多いことを考慮して、言葉で書くだけでなく、可能な範囲で写真やイラストを多用して、「見てわかる」レベルのマニュアルを目指しました。口でうまく説明できないのなら、文章や図で理解してもらえばいいのです。また「読めばだれでも実践できる」ことができなければ、つまりマニュアルを読んでいないということなので、従業員の評価の基準も明確化できます。

 

しかし、「マニュアルをつくったから読め」だけで情報セキュリティが機能すれば苦労はありません。実際に機能するためには、納得するレベルまで理解してもらう必要があります。そこでA社ではモラル教育を徹底的に施しました。

 

たとえばインシデントの報告を義務化するにあたって、インシデントそのものよりも、それを隠すことの罪の大きさを訴えることで、積極的に報告ができるような価値観を育てていきました。

 

基本的な施策に加えて、「中国やベトナムの法令チェックに関する仕組みづくり」「テレワーク導入のための仕組みづくり」も実施しました。

 

インバウンドプロモーション支援を行うにあたっては、海外の法令を遵守しなければならない場合もあります。とりわけ中国の法律は成立から施行までの期間が短いこともあるため、臨機応変な体制の整備が求められます。そこで、中国の法令に関するニュースを見つけたら、即座に社内共有・取引先へのアナウンスを行うというルールをつくったのです。またいままで以上に中国の法令に詳しい弁護士との連携も強化しました。

 

近年の働き方改革でテレワークなどの自由な働き方を認める企業も増えてきていますが、情報セキュリティ上の課題が置き去りになっている場合が少なくありません。従業員が勝手気ままに、街のカフェやら電車内でパソコンを開いたり、セキュリティレベルの低い無料の無線LANに接続したりすれば、情報漏えいのリスクは跳ね上がります。このリスクを低減するために、そもそもテレワークを禁止する方法もあります。

 

しかしA社は若い従業員が多かったこともあり、テレワーク希望者も相当数いました。これを無視してしまうと、モチベーションや業務効率にも関わってくる可能性があったため、テレワークセキュリティガイドラインを定めたのです。「やってもいいけど、ルールは守ってね」というわけです。

 

こうした改善策を実施した結果、A社の管理業務の効率が格段に上がり、管理職のメンバーがより自分の業務に打ち込む余裕が生まれました。外国人の従業員や若い従業員も、自分たちの求める働き方ができるようになったとともに、「押し付けられたルール」ではなく、「納得したルール」として受け入れることができたため、以前に比べて会社への不満を漏らさなくなりました。

海外事業においては、情報セキュリティの再構築が急務

A社のような会社でなくとも、近い将来、日本の外国人労働者は増えていきます。日本人の人手が減っていくなかで「管理が大変だから、うちは外国人を雇わない」といっている場合ではなくなるでしょう。情報セキュリティ対策を、そうした状況に合わせて調整できるかどうかは、今後ますます重要になると思われます。

 

2018年5月25日から適用が開始されたEUの「GDPR(EU一般データ保護規則)」はその一つです。同規則はEUにアイスランド、リヒテンシュタイン、ノルウェーを含めたEEA(欧州経済領域)内で取得した氏名やメールアドレス、クレジットカード番号といった個人情報のEEA外への移転を原則禁止するもので、違反した場合は最大で2,000万ユーロ(約24億円)以上の制裁金が科せられます。GDPRの制裁金の金額はほかに類を見ません。企業として無駄な損失を出さないために、対応は急務といえます。

 

隣国であり、世界トップクラスの大消費地である中国でも、2017年6月に「中華人民共和国サイバーセキュリティ法」が施行されました。同法では、規制の対象がホームページを開設している一般企業を含む「ネットワーク運営者」、ニュースサイトやECサイト、検索エンジン、各種事業者向けシステムなどを運営する「重要情報インフラ運営者」、クラウドサービスやデータの処理・保存サービスなどを提供する「ネットワーク製品およびサービス提供者」の三者に分類しています。ネットワーク運営上の安全の保障と個人情報の保護が義務付けられており、違反した場合は当局からの指導や関連業務停止などの処罰、最大100万元(約1,574万円)の罰金が科せられます。

 

当然、EU、中国以外にもこうした法律は存在します。海外で事業を展開する場合は、事前にその国の法律をしっかりと調べ、情報セキュリティの再構築をする必要があるのです。個人情報関係の法律は、特に注意が必要です。その際は、各国の法律に詳しい弁護士などの専門家に相談し、万全の準備をすることをおすすめします。

 

 

幸松 哲也

LRM株式会社 代表取締役 CEO

LRM株式会社
 代表取締役 CEO

新卒で大手システムインテグレータのTIS株式会社に入社しその後外資系IT企業、システム会社を経て2006年12月にLRM株式会社を設立。
「情報は『守る』ためにあるのではなく、『使う』ためにある」をポリシーに、セキュリティダイエットの実現に向けて多伎にわたる提案をしている。
ISMS認証審査機関において主任審査員として審査業務にも携わってきた経験も持つ。

著者紹介

連載その「セキュリティ対策」が会社を潰す

そのセキュリティ対策が会社を潰す

そのセキュリティ対策が会社を潰す

幸松 哲也

幻冬舎メディアコンサルティング

毎年相次ぐ大手企業の情報漏えい事件。その原因の多くは「間違った情報セキュリティ対策」にあります。セキュリティ対策ソフトの導入や情報の持ち出し規定の強化など、一見対策を行っているように見えても、実際には内容が更新…

メルマガ会員限定記事をお読みいただける他、新着記事の一覧をメールで配信。カメハメハ倶楽部主催の各種セミナー案内等、知的武装をし、行動するための情報を厳選してお届けします。

登録していただいた方の中から
毎日抽選で1名様に人気書籍をプレゼント!
会員向けセミナーの一覧