資源からごみへ

かつて、核融合サイクルは夢の発電とされ、電力業界は原子力発電所から出るプルトニウムを資源として蓄積してきた。ところがもんじゅから放射性物質が漏れる事故が重なり、やがて厄介物扱いされるようになった。
ビッグデータは宝の山とされ、企業は収集した顧客情報や取引履歴を「情報資産」として蓄積してきた。ところが漏洩によって莫大な特別損失を生むことがわかった。
「情報」に「資産」という言葉を付け始めたのは個人情報保護対策が始まった頃からである。情報管理者の多くは、情報は0と1の集合であって、現預金や貴金属、不動産のような資産とは異なるものだと思ったものだが、やがて漏洩事故が起こるようになると1件あたりいくらで売買されるような、「価値のあるもの」としての社会的認知が広まった。一方、まだ厄介物扱いする企業はあまりない。

• 持っていると陳腐化する。(情報鮮度が下がる)
• 持っているだけでシステム管理コストや警備コストがかかる。
• 漏れると莫大な賠償や社会的信用低下が待っている

プルトニウムと共通点が多い。

再委託の見直し

プルトニウムと情報資産の違いは、多くの会社にとって代替物がないことである。「個人情報」に限定すれば他社に任せることができる業態もあるが、そうでない業態も多いし、そもそも情報そのものを扱わない会社は存在しない。よって、情報を持つからにはそこには漏洩させてはいけない秘密や、他社から預かっている情報が混入するので、企業は情報管理と向き合わなければならない。
通信教育大手の漏洩事件を受けて、2014年8月13日の日本経済新聞は「顧客情報管理、再委託を原則禁止　経産省が指針改正へ」と報じた。情報処理業界においてゼネコンや福島第一原発のような多重下請構造においては今すぐ再委託禁止にするのは難しいという声が業界からあがるかもしれない。ただ、そもそも漏れたら数百億円の損失がでかねないような物を管理させるのにどこの誰がやっているのかわからないという状態はおかしい。自社のビルは一級建築士がしっかり構造計算をやって作っているのに、自社の情報は4次受けのワーキングプアが二重請負の中、睡眠不足で目をこすりながらデータベースにアクセスしているというのは釣り合わない。機密情報取扱資格を制度化すると新たな利権になるので、せめてどこの誰がアクセスしているのか把握することくらいは必要ではないか。
福島第一原発でも電力会社が用意した危険手当は中間業者がピンハネしているようだが、機密情報取扱者に情報管理特別手当を直接出すような契約も検討した方がいいと思う。これまでは元請けの管理者にお金を払ってきたが、技術者本人が意図的に持ち出しを企てる場合はどんな管理をもってしても無駄である。会社としての管理体制や管理者の能力・経験も重要だが、個々のメンバーに対して顧客企業が関心を持つことが大事である。顧客が関心を持ち始めたら中間業者も見知らぬふりをするわけにはいかないので冒頭に書いたように「一切預からない」という対応を取るか、メンバーの管理を下請け任せをやめるしかない。
関心を持つというのは手当を出すことだけではない。実際の指示命令系統を可視化させてみよう。
機密情報を扱う作業をさせる場合、作業者の実際の所属先と名前を作業開始前に届け出させるというのはこれまでも行われてきた。あるいは、プロジェクト主要メンバーの氏名と経歴を提出させる場合もある。しかしそれでは不十分である。たとえ「その人が漏洩させたらその会社に賠償を要求します」としても、委託先業者は、再委託先の要員に自社名を名乗らせるだろう。そこで、管理体制と再委託の有無も書面で提出させ、管理者と本人の所属会社在籍を示す勤務証明書、そして自社社員が漏洩に加担した場合に自社が損失補填する誓約書を各社から持参させる。例えば四次請けがいれば以下の提出物が発生する。

• 元請けの体制図、委託先一覧、管理者の勤務証明書、会社としての誓約書
• 二次請けの体制図、委託先一覧、管理者の勤務証明書、会社としての誓約書
• 三次請けの体制図、委託先一覧、管理者の勤務証明書、会社としての誓約書
• 四次請けの体制図、委託先一覧、管理者の勤務証明書、会社としての誓約書、作業者の勤務証明書、作業者個人としての誓約書

さらに、作業の際に各社の管理者の現地立ち会いを義務づける。「管理者の設置」とすると名簿だけ作って実態を伴わないので、作業中は同伴しなければ操作をさせないというルールにする。

• 元請けのプロジェクト責任者、責任者の代理人、もしくはセキュリティ管理者のいずれか1名以上
• 二次請けのプロジェクト責任者、責任者の代理人、もしくはセキュリティ管理者のいずれか1名以上
• 三次請けのプロジェクト責任者、責任者の代理人、もしくはセキュリティ管理者のいずれか1名以上
• 四次請けのプロジェクト責任者、責任者の代理人、もしくはセキュリティ管理者のいずれか1名以上
• 四次請けの作業者

ひとりでできる作業に管理者4人と監視カメラが必要になれば、さすがに四次請けはやめるだろう。偽装がわかれば下請法を盾に訴えればよい。
情報漏洩などの事故が発生したら、各社から報告書を出させる。これまでは元請けが提出していたが、同伴していた人間が何をしていたのか、全社に釈明させよう。
受託先が取れる対策としては、作業者を出向させること。四次請けが三次請けに出向すれば四次請けの管理者は不要となる。さらに管理者を減らすにはより元請けに近い企業に出向させればよいのだが、そのときの三次請けの価値は何だろうか。そもそも再委託先の要員に自社名を名乗らせること自体が偽装出向なのだが、勤務証明書や誓約書が必要となった時点で、コンプライアンスを維持しようとすれば出向者の給与体系に関与しなければならなくなる。
次に、元請けは機密情報取扱の部分について契約を別立てにすることを狙ってくる。契約事務や検収の手間が顧客側にも発生するが、これは情報を保有することのコストなのである。コンサルタントや、監査は別契約にすることも少なくないから、別契約というやり方自身が新しいものではない。ただし機密情報取扱を別契約にするというのは珍しいのではないか。顧客側が対応しきれないというのなら、その部分は自社で専門家を雇うしかない。自社と同じ賃金体系が割高であればそれもまたコストだ。
この影響として、数百億円の賠償に応じられないような零細企業は下請けであっても契約に加わることができない。これは仕方がないことではないか。それだけ情報漏洩の威力は大きすぎる。サービス残業も含めれば時給300円くらいの作業者に会社存続を脅かす作業を委ねること自体が間違っている。

情報漏洩保険

受託者保護として、従業員の内部犯罪リスクに対応する保険が整備された方がいいと思う。損害保険会社は何をしているのだろうか。