今回は、出向者による不適切な情報取得に関する事案を取り上げます。出向という業務慣行がどのようにリスクになるのか、なぜ長期間にわたり見過ごされたのか、組織としてどのように初動対応し再発防止に取り組むべきかを分かりやすく解説します。リスナーの皆様には検知手法や運用面での対策、そして情報公開の適切な在り方まで実務に役立つ知見をお持ち帰りいただけます。
日本生命保険相互会社は9月12日、同社出向者による不適切な手段での情報取得事案に係る金融庁への報告について発表した。文字のコピーができないPDFファイルで公開している。
こちらの記事を、簡単に解説お願いできますでしょうか?
本件はある生命保険会社が銀行などへ派遣した出向者が、上司の許可を得ずに業績情報や行員評価基準、他社商品情報など内部情報を入手し社内で共有していたという事案です。対象は複数の代理店に及び件数は数百件にのぼります。原因としては販売支援の質向上を重視するあまり情報収集を優先し、出向者と本部担当者双方が成果評価につながる期待から不適切な手段に頼ってしまった点が挙げられます。金融当局の報告徴収を受け、聞き取りやメールやサーバのフォレンジック調査を実施して全容解明を図った初動対応が取られています。再発防止策としては出向制度の見直しを行い、営業フロントや営業企画支援の出向を一時停止するとともに銀行等からの情報収集に関する取扱ルールを新たに策定し徹底する方針が示されています。
質疑応答
出向者という働き方について、具体的にはどのような形態でどんな権限や制約があるのでしょうか?
出向者とは企業間で一時的に業務従事する社員であり勤務先は出向先となるため業務指示系統やアクセス権は出向先側に一部依存します。契約上は雇用関係は元の会社に残ることが多く評価や報酬の帰属が複雑になる場合があります。業務上の秘密保持や取扱データの範囲を明確にせずに現場裁量に任せると、どの情報が取得可能か不明確になり規範逸脱が起きやすくなります。そのため契約段階でアクセス権や監査手段を定義し定期的に権限見直しを行うことが重要です。
今回の事案が長期間にわたって発生した背景にはどのような組織文化や評価制度の問題があると考えられますか?
長期化の背景には目標達成や支援成果を重視する文化があり必要以上の情報収集を良しとする風土が育った可能性があります。評価制度が定性的な評価や営業成績に偏っていると不正リスクが見えにくくなります。加えて出向という特殊な人事形態が責任の所在を曖昧にし、現場の監督や内部統制が機能しにくくなった点も指摘できます。組織は評価軸の見直しと同時に内部通報や匿名でのリスク報告チャネルを強化し日常的な監査で行動の逸脱を早期に是正する必要があります。
不適切な情報持ち出しを早期に検知するためにはどのような監視やログが有効でしょうか?
端末やアプリケーションの操作ログ、ファイルアクセスログ、メール送信や外部ストレージへの出力履歴を一元的に収集することが有効です。端末管理を徹底し私用端末や私用メッセージアプリの業務利用を禁止するとともにデータ損失防止の仕組みを導入することが重要です。更にログをSIEMで相関分析し異常なファイル転送や短期間での大量検索など振る舞いの異常を検出する運用を整備すれば早期発見が現実的になります。
再発防止のために出向制度そのもの以外で企業が取るべき根本的な対策は何でしょうか?
まずは情報取扱ルールと責任区分を明確に定め運用を徹底することが必要です。アクセス制御を最小権限にしログ監査と定期的な権限レビューを行うべきです。人事評価とコンプライアンス指標を連動させ職務遂行における倫理やルール順守を評価軸に組み込みます。教育や演習で具体事例を示し当事者意識を高め、内部通報窓口の匿名性と対応プロセスを強化して早期に問題を外部に発展させない仕組みを作ることが根本対策になります。
金融庁への報告や公開資料が文字のコピー不可のPDFで出されたことの問題点と適切な情報公開方法を教えてください。
文字のコピー不可のPDFは透明性の観点で利便性が低く外部レビューや研究用の二次利用を阻害します。第三者の検証が困難になり信頼性を損なう恐れがあります。適切な情報公開は機械可読な形式で要点を整理し赤acted部分は最小限に留めることが基本です。報告書は事実関係と対応経緯を時系列で明確にし再発防止策の実効性を示す指標を添えると良いでしょう。
まとめ
今回の事案では、出向という制度の運用があいまいだと情報管理の穴が生まれ、不正が見えにくくなるリスクがあることがわかりました。また対策としては監査やログ収集、評価制度の見直しとコンプライアンス指標との連動が不可欠であることがわかりました。 また一つ、勉強になりました!
