第26号コラム:伊藤 一泰 理事(関西国際空港用地造成株式会社 参与)
題:「企業経営とデジタル・フォレンジック」
1 企業経営の構成要素とIT技術の進展
古い教科書を見ると、企業経営を形作っている構成要素として「ヒト・モノ・カネ」の3要素があげられている。即ち、優秀な人材を獲得し、的確なタイミングで需要に見合った投資を行い、必要な資金を市場や金融機関から安定的に調達することが旧来の企業経営のポイントであった。今は、これに「情報」という要素が加わり、そのウエイトも漸次高まっている。現代の経営者は、如何にして迅速的確に必要な情報を得るか、そして、集積した情報をどのように有効活用し、適切に管理するかということに注力しなければならなくなった。
一方、IT技術は、我々の想像を超えたスピードで革新を遂げ、高度で複雑なものとなってきた。このため、一般企業の多くが、社内のリソースだけではIT技術の進展に対応困難な状態となり、外部の専門家に頼ることとなった。このような状況下、少なからぬ企業において、「情報を活用し管理する」という「本来業務」まで外部の専門家に丸投げするのが当然のようになっている。勿論、経営者の中にもITに詳しい人もいるし、ITに長けていなくても、正しい経営判断が出来る経営者も多いが、ITの利用に伴う社内の管理体制が不備のまま、IT技術の進展に伴う防御的投資とも言える情報セキュリティ対策が後手に回っている企業はかなり多いと思われる。
2 企業不祥事と経営者の資質
最近、情報管理に関する不祥事(事件・事故)がメディアを賑わしている。筆者は、その中で、企業に係わる事案に注目している。いくつかの事案の背景や誘因には、経営者の情報管理に関する認識欠如やスキル不足の問題が潜んでいるように思える。その典型は、昨今相次いでいる各種の偽装・改竄事件や顧客情報の漏洩事件である。
これまで、日本の企業では、入社以来まじめに仕事に取り組み、サラリーマンとして着実に階段を上り詰めた人が経営者となる例が多かった。即ち、経営者の多くは、当該組織の中で必要な経験を積み、業務知識を習得しながら、内輪の論理の中で出世してきた。いわば、組織内だけの評価で、勝負が決まっていた訳である。いかに人物本位と言っても、審判が身内だけなら客観的な評価はおぼつかない。経営能力が乏しいのに、「人柄」でポイントを稼いだ結果、トップにまで上り詰めた経営者も少なくない。
一方で、経営者のスキルが不足していても、補佐役となる人物が、そのスキル不足をカバーし、情報管理に遺漏なきよう努力している企業が多数あるのも事実である。不祥事を起こした企業に、もし、しっかりした補佐役がいれば、このような事件を未然に防げたのではないかと思われる例も多い。しかしながら、「本来業務」の丸投げが続くと、経営者をサポートし、スキル不足をカバーする人材がいなくなり、情報管理のノウハウも失われる。とりわけ、ワンマン経営者が君臨し、現場の意見が上層部に届きにくい企業は、組織全体のモラル低下を招きやすく、このような陥穽にはまる危険性が大である。かかる状況下、経営者の「資質」の問題が、各種の偽装・改竄事件や情報漏洩事件となってあぶり出されてきたと見るのは筆者だけであろうか。
マクロの問題に目を向けると、サブプライム問題に関し、金融商品のブラックボックス化が問題解決を難しくしているとの指摘がある。これと同様、ミクロの問題として、企業における情報管理のブラックボックス化も心配しなければならない。経営者としては、アメリカ経済の動向に気を揉むのも大切だが、足元の「ブラックボックス」にうっかり躓かないように気を配るべきであろう。
3 「職業倫理の希薄化」や「雇用形態の多様化」が原因?
情報漏洩事件などの不祥事が発覚すると、メディアには、「職業倫理の希薄化が組織全体に進んできた結果である」といった識者のコメントが掲載される。しかし、「職業倫理の希薄化」という曖昧模糊としたフレーズにごまかされ、本質的な要因を見失ってはならない。本来、経営者は、自らを戒めつつ、組織の末端に至るまで規律を徹底させるべき役割を担っている。彼らの認識不足や状況判断の誤りは、組織全体に大きな悪影響を及ぼす。そのような中で、不祥事が発生しているケースが多いように思える。即ち、問題は、末端も含めた組織全体にあるのではなく、もっぱら経営者の資質や能力にあると言いたいのである。
これに対して、多くの経営者は「そんなところまでトップが見ている余裕はない」「そのため担当役員を置いているのだ」と反発するが、情報管理に関し社内体制を整備し、内部統制システムを構築することは、経営者の「本来業務」であり他人に委任すべき事柄ではない。その点についての認識不足や状況判断の誤りが、規律の弛緩やモラルの低下という形で、図らずも露呈したものと見るべきであろう。
また、職場規律が弛緩した要因として、雇用形態の多様化、即ち、非正規雇用の拡大を指摘する識者も多い。彼らは、雇用形態の多様化により職場の人間関係が希薄化し、その結果、従業員の会社に対する忠誠心も失われつつあると主張する。そして、従来の「事細かく言わなくても規律は守られるはず」といった旧時代的な信頼関係にあぐらをかき、必要な対処を怠ってきた経営者は、自分の責任を棚に上げ「忠誠心をなくした部下に裏切られたために事件が起きた」とのたまう。しかしながら、雇用形態の多様化により人件費を抑制し、収益面でのメリットを享受しているのであれば、デメリットに対しても責任を負うべきである。状況の変化に合わせ内部統制システムを整備するのは、経営者の責務である。
多くの経営者は、情報セキュリティ対策をITの専門家やIT担当部署に任せるべき技術的な問題だと認識しているようだが、極めて経営的な問題を含んでいるのである。通常、情報セキュリティ対策は、収益を生まない「負」の投資として捉えられることが多いため、投資の優先度が低くなる。それでもなお、必要な投資と認識し「ヒト・モノ・カネ」を割り当てるという経営判断は、経営者以外には出来ない。今まさに、経営者には、情報セキュリティに対する状況認識を新たにする努力が求められている。
4 「振り込め詐欺」と情報漏洩
ここ数年、振り込め詐欺が横行している。高齢者等の「IT弱者」の不安や焦りに乗じて金を詐取するという卑劣な犯罪である。このような犯罪の背後には、企業が保有する顧客情報の漏洩・悪用があると言われている。電話番号、家族関係、取引金融機関などがわかれば、悪知恵に長けた連中は、簡単に詐欺のシナリオを作るであろう。もし、企業から漏洩した情報が不正に使用されたり、犯罪に使われたりするのであれば、経営者としても責任重大である。
企業の情報が、どこからどのようにして流出するのか解明はなかなか難しい。企業から漏洩した顧客情報が、いわゆる「闇サイト」で売買されるケースも多いと聞く。フィッシング詐欺等による個人情報の詐取事件も相次いでいる。IT技術の進展が新たな犯罪手口を誘発し、防犯対策が後手に回る「いたちごっこ」の状態となっている。
現代の情報漏洩の脅威は、電子化されたデータがいとも簡単に流出し、一旦、ネット上に流出したら、あちらこちらのサイトにコピー・転載され、回収は事実上不可能になるという点にある。更には、自社のみならず、取引先等にも回復困難な被害をもたらす点にも留意しなければならない。漏洩の有無や漏洩ルートが簡単には判明しないという問題もあり、官民を挙げた対策の強化が求められている。
5 これからの課題
企業における情報漏洩事件への対策として、デジタル・フォレンジックが必要とされる局面が増えてきたのは間違いない。しかし、一方で、プライバシー保護の問題や、更なる監視社会になることについてのアレルギーも強い。この点については、第24回のコラムで、秋山理事がご指摘になったように、「チェックの手間を軽減できるツール」として、ポジティブに理解してもらう努力が必要であろう。内部統制システムの整備についてクリアすべき課題は多いが、解決策のひとつとして、デジタル・フォレンジックがもっと企業経営に活用されて良いと思っている。
デジタル・フォレンジックについて、専門家の調査・研究が進む中、企業、とりわけ経営者への啓蒙がこれからの課題であろう。12月に開催される、「デジタル・フォレンジック・コミュニティ2008」に、より多くの企業関係者が参加されることを願う次第である。