現在地 HOME > 掲示板 > IT5 > 608.html ★阿修羅♪ |
|
Tweet |
ソフトバンクBB、恐喝未遂事件容疑者逮捕を受け発表会開催
〜「PC JAPAN」休刊へ。容疑者の1人は「PC JAPAN」に執筆するライター【+関連記事数本】
http://internet.watch.impress.co.jp/cda/news/2004/05/31/3304.html
謝罪するソフトバンクBB経営陣
ソフトバンクBBは、同社の顧客情報流出に関する恐喝未遂事件の容疑者が5月30日に逮捕されたと発表した。同社で過去に業務委託として働いていた人物が、顧客データベースへアクセスするための情報を容疑者らに伝えたという。
同社によれば、逮捕された容疑者は、以前にソフトバンクBBで業務委託としてシステム関連の業務に従事していた人物から、リモートメンテナンスサーバーへアクセスするためのアカウントとパスワードの情報提供を受けていたという。この人物は、リモートメンテナンスサーバーのほかに顧客データベースへのアクセス権も保有していた。
昨日逮捕されたのは森容疑者、冨安容疑者の2名。このうち冨安容疑者は、ソフトバンクグループであるソフトバンク・パブリッシングの月刊誌「PC JAPAN」でフリーライターとして執筆していた。ソフトバンクグループではこれを受けてPC JAPANを当面の間休刊とする。
孫正義代表取締役社長は、「今回の逮捕で事件がおおむね全容解明したので報告にいたった」とコメント。現時点では個人情報の二次流出に関する兆候は見られず、一部報道にあるような財務データへのアクセスもないと説明した。
● 協力者は業務委託終了後も外部アクセスが可能だった
2004年1月8日までのアクセス権限。両サーバーのグループアカウントを所有していた人物はただ1人
今回存在が明らかになった協力者は、ソフトバンクBBの業務委託として2002年5月から2003年2月まで働いていた。ソフトバンクBBでは通常退職者のアクセス権は削除していたが、協力者が所有していたのがリモートメンテナンスサーバー、顧客データベースともに複数で利用できるグループアカウントであり、協力者が退職後も外部からアクセスが可能な状態だったという。
2004年1月8日までのアクセス権限は、顧客データベースが170名、リモートメンテナンスサーバーが110名であり、両方にアクセス可能であり、リモートから顧客データベースへアクセスできた人物は18名存在した。ただし、グループアカウントの権限は顧客データベースのアカウントが36名、リモートメンテナンスサーバーが13名と少なく、両サーバーのグループアカウント権限を持つ人物は協力者ただ1名だったという。
グループアカウントの存在について孫社長は「真剣に考えれば必要性はなかった」とした上で「当時は急成長している事業の運用に自然発生的に作られたもので、会社として指示を出したわけではない」と説明。退職者が利用できないような対策が行なわれていなかった点については「メンテナンス意識が足りなかった」と反省の意を示した。
● 協力者特定のきっかけは1通の匿名メール
協力者の特定に至ったきっかけは、ソフトバンクBB宛てに送られた匿名のメールだという。このメールには協力者が事件に関わりがあることを示唆するような内容が記述されていたが、警察の捜査上の理由からその存在は今まで明らかにしていなかったという。
今回逮捕された冨安容疑者と協力者の関係は「聞くところによればハッカー仲間で、メールやチャットなどのやり取りで知り合ったとの報告を受けているが、どのように知り合ったはわからない」という。孫社長は「協力者は(退職後も)データベースへアクセスできることをハッカー仲間に自慢していたようで、それを聞いた仲間の1人が正義感からかメールで連絡を取ってきた」との経緯を説明した。
● PC JAPAN以外の媒体も今後対応を検討
ソフトバンクBB代表取締役社長兼CEOの孫正義氏
冨安容疑者は「BEAMZ」のペンネームを使い、PC JAPANで合計31本の記事を執筆したほか、Web上のニュース媒体「ITmedia」でも2001年7月から2002年8月の期間執筆していた。また、協力者も「黒川かえる」のペンネームでPC JAPANに1度執筆経験があった。PC JAPANはこれを受けて当面の間休刊とするが、ITmediaについては「ニュース媒体に近いもので、テーマが異なり大変広く多岐に渡っているため、出版活動を止めようとは思っていない」と休刊しない方針を示した。
孫社長はPC JAPANについて「内容そのものはセキュリティ対策に力を入れた上級PCユーザー向けの雑誌だが、タイトル等が刺激的であり、適切なタイトルではないな、と本日議論をしていた」とコメント。「ソフトバンク・パブリッシングの目的は、IT業界の健全な発展のための出版であったが、今回このような事件があり、出版物にそのような誤解を受けるタイトルや記事が出ていたのではないかと反省した。今後は真剣な議論の上で社内の処分を速やかに行なっていきたい」と述べたのち、PC JAPAN以外の媒体についても「どのような雑誌や単行本が発行されているのか、再度議論をしてみたいと思う」とした。
なお、ソフトバンク・パブリッシングという企業そのものについては「健全なものも出しており、会社そのものをなくすのはいかがなものかと思う」とコメント。「今回の事件の温床となるような雑誌、書籍等は認識できたので、それについては何がしかの処置をしたい」とした。
● 協力者の法的対処は現状では難しい
ソフトバンクBB 常務取締役兼CISOの阿多親市氏
協力者への対処については「内部協力者は本人が直接情報を退職後に入手して恐喝したという訳ではないため、現在の法律では対処が難しい」というのが実情だという。孫社長は「現在専門家と相談中だが、大変遺憾に思っている」と述べた。
顧客情報の二次流出については「現時点でサポートセンターへの問い合わせもなく、消費者センターへの問い合わせも0件と聞いている」とし、二次流出の可能性を否定。さらに「名簿屋などにも問い合わせてみたが、一切売買されていないとの回答を受けた」と付け加えた。
今回の個人情報流出に関して発生した直接的な費用は、ユーザー宛に送付した金券が「400万近いユーザーのうち、実際に換金したのは5月28日現在で188万人」と説明。また、新規顧客向けの販売プロセスを厳重なものに切り替えるなど、全体で100億以上の金銭的影響があったと考えているという。
企業としての責任は「前回の記者会見でも内通者の存在は認識しており、その点も含めた社内処分や顧客への対応を実施した」と説明。孫社長の退任については「デジタル情報革命、ブロードバンド革命を全うさせるのが最大の責任であり、途中でこの事業を投げだす訳にはいかない」と否定した。
ソフトバンクBBの常務取締役兼CISOである阿多親市氏は「社内のネットワークやデータベースを実際に足を運んで確認したが、他と比べて現状では大きくかけ離れているものとは思わなかった」との感想を述べたのち「指紋認証の導入やネットワークの切り替えといった作業を数週間で行なっていくスピードは相当早いのではないか」と語った。また、リモートメンテナンスサーバーについては「他社でも99%使われているだろう」とした上で、「社内ネットワークだけでの運営は大きな無理もあった」とした。
関連情報
■URL
ソフトバンクBB
http://www.softbankbb.co.jp/
関連記事:“Yahoo! BB顧客情報漏洩事件”特集
http://internet.watch.impress.co.jp/static/index/2004/03/01/ybb.htm
■関連記事
・ Yahoo! BBの顧客情報漏洩事件、流出経路に業務委託先の社員(2004/05/31)
( 甲斐祐樹 )
2004/05/31 17:38
退職者の暗証、1年放置 ヤフーBB顧客情報流出事件【asahi.com記事】
http://www.asahi.com/special/yahoobb/TKY200405310304.html
インターネット接続サービス「ヤフーBB」の契約者情報流出事件で、サービスを運営する「ソフトバンクBB」が、元派遣社員の男性(30)に与えた接続用IDやパスワードを、男性の退職後も1年近く変更しないというずさんな管理をしていたことがわかった。この未変更のパスワードを使って顧客情報が引き出されていた。同社の孫正義社長は31日記者会見し、「管理を厳正に行っていれば防げた」と謝罪した。
男性の知人で、引き出した顧客情報をもとにソフトバンク側を脅したとして警視庁に逮捕された無職冨安泰生容疑者(24)と男性が、ソフトバンクグループ出版の月刊誌「PC JAPAN」に執筆していたこともわかり、孫社長は同誌を当面休刊することを決めた。
孫社長によると、男性は、02年5月から03年2月まで勤務。男性の退職後も保守管理用サーバーのIDとパスワードが、事件が発覚した今年2月まで変更されていなかった。
男性が退職後にこのIDとパスワードを使って保守管理用サーバー経由で顧客データベースに侵入したのを警視庁に30日逮捕された容疑者(24)が盗み見て、パスワードを覚え、自ら顧客情報を引き出したという。
(05/31 23:36)
ヤフーBB恐喝未遂事件、退職後ID無効にせず【日経】
http://www.nikkei.co.jp/news/shakai/20040601NT002Y77131052004.html
「ヤフーBB」をめぐる恐喝未遂事件で、ソフトバンクの孫正義社長は31日、東京都内で記者会見し、社内調査の結果、社内に蓄えた個人情報に社外からアクセスできるIDやパスワードが、担当者の退職後も有効になっていたことが分かったと発表した。孫社長は「我々がしっかりと情報管理をしていれば事件に発展しなかった」と個人データ管理の不備を正式に認め、陳謝した。
同社は個人情報データベースへのアクセス権限者を大幅に削減し、指紋認証制度も導入。対策を強化したという。孫社長は「多くの方にご心配、ご迷惑をかけたことをおわびする」としたうえで、顧客情報の流出経路に関する同社の調査結果を説明。恐喝未遂容疑で30日に逮捕された無職、冨安泰生容疑者(24)に顧客情報へのアクセスの仕方を漏らした元業務委託先の男性(30)について、社外のコンピューターから接続するためのIDやパスワードと、個人情報を閲覧するためのIDやパスワードの両方が、昨年退職した後も有効になっていたため不正なアクセスが可能だったことを明らかにした。 (07:00)
ヤフーBB情報引き出し役、グループの雑誌に執筆【日経】
http://www.nikkei.co.jp/news/shakai/20040601AT1G3103V31052004.html
「ヤフーBB」の顧客情報の引き出し役となった冨安泰生容疑者(24)と、同容疑者に顧客情報へのアクセスの仕方を漏らした元業務委託先の男性(30)は、いずれもソフトバンクグループの月刊誌「PC JAPAN」で、パソコンのセキュリティー対策などの記事を執筆していたことが31日、分かった。
ソフトバンクは「情報犯罪の容疑者が執筆していた事実を厳粛に受け止める」として、同誌を当分の間、休刊することを決めた。孫正義社長は「2人はハッカー仲間と聞いている。問題があると思われる記事もあったようだ」と話した。
同社によると、冨安容疑者は記事計31本を執筆。今年6月号に載ったブロードバンドのセキュリティー関連の記事では、ハッカーが使う手口の一部を紹介した。
元業務委託先の男性は一回、昨年の10月号で特集記事を書いていた。 (07:00)
元派遣社員はハッカー界の“著名人”…ヤフー名簿流出【読売】
http://www.yomiuri.co.jp/national/news/20040531i115.htm
インターネット接続サービス「ヤフーBB」の加入者情報流出事件で、恐喝未遂容疑で逮捕された冨安泰生容疑者(24)に、データベースへの侵入方法を知るきっかけを作ったソフトバンクBBの元派遣社員(30)は、ペンネームで執筆活動や講演活動を行うなど、ハッカー仲間の間では“著名人”だったことが、31日わかった。
同社が記者会見で明らかにした。
同社の説明や警視庁捜査1課の調べによると、元派遣社員は2002年5月から同社のネットワークの保守管理業務を担当していたが、昨年初めごろ、同僚との折り合いが悪くなったために退社。冨安容疑者とは退社する前後ごろにチャットを通じて知り合ったという。
元派遣社員はペンネームで不正アクセスの手口などについて書籍に執筆していたほか、企業などを対象にした講演活動なども行っていた。
また、冨安容疑者は2000年11月から、同社の関連会社発行のパソコン月刊誌「PC JAPAN」に、「BEAMZ」と名乗って計31回にわたって、不正アクセス防止法などについての記事を執筆していたことも判明。事件が表面化した後も、今年6月号まで執筆を続けていた。同社は、同誌を当面の間、休刊とすることを決めた。
(2004/6/1/01:52 読売新聞 無断転載禁止)
主犯格の男が不正入手指示 ソフトバンク恐喝未遂事件【産経】
http://www.sankei.co.jp/news/040531/sha044.htm
インターネット接続サービス「ヤフーBB」の約460万人分の顧客情報が流出した事件で、恐喝未遂容疑で逮捕された無職、冨安泰生容疑者(24)は、主犯格の右翼系政治団体元代表、森洋被告(67)=同罪で公判中=からの指示を受けて顧客情報を不正に入手していたことが31日、警視庁捜査一課の調べで分かった。
調べでは、冨安容疑者は昨年4月、ハッカー仲間のソフトバンク元契約社員(30)からパスワードなどを教わり、5月ごろから度々、身元が特定されにくいインターネットカフェからサーバーへ侵入、顧客情報の引き出しを始めた。
森被告は娘婿の森琢哉容疑者(35)を通じて昨年秋ごろ冨安容疑者と知り合い、8人分の顧客情報を持っていることを知った。それを材料にソフトバンクから現金を脅し取ることを計画し、冨安容疑者にさらに顧客情報を入手するよう指示したとみられる。
冨安容疑者は今年1月上旬、インターネットカフェからサーバーに侵入し、サーバーに保存されている顧客情報の大部分に当たる約460万人分を一度に引き出し、森被告はソフトバンク関連会社の代理店副社長、湯浅輝昭被告(62)=恐喝未遂罪で公判中=に恐喝行為を実行させたという。
森被告と冨安容疑者の間に現金など報酬の約束はなかったといい、捜査一課は、冨安容疑者が情報を入手した動機や詳しい状況をさらに追及している。
(05/31 10:23)
ソフトバンク恐喝未遂事件 顧客情報入手、2人逮捕 元派遣社員通じIDなど知る【産経】
http://www.sankei.co.jp/news/040531/morning/31na1001.htm
インターネット接続サービス「ヤフーBB」の顧客情報が流出し、親会社の「ソフトバンク」が現金を要求された恐喝未遂事件で、顧客情報を管理する運営会社「ソフトバンクBB」のデータベースから顧客情報を無断で入手するなどしたとして、警視庁捜査一課は三十日、恐喝未遂の共犯の疑いで、無職、冨安泰生(二四)=東京都新宿区早稲田町=と同、森琢哉(三五)=文京区本駒込=の二容疑者を逮捕した。
調べでは、冨安容疑者らは、知人のソフトバンクBBの元派遣社員(三〇)を通じて同社のサーバーコンピューターに接続できるパスワードなどを知り、これを使って新宿区内のインターネットカフェで複数回にわたり同社のサーバーに接続し、データベースから顧客情報を入手。森容疑者の義父の元政治結社代表、森洋被告(六七)=恐喝未遂罪で公判中=に渡した。
そのうえで森被告らと共謀し、ソフトバンクに対して「流出したことが外部に公表されたら大変なことになる」などとして、現金数十億円を脅し取ろうとした疑い。
元派遣社員は同社でサーバーのメンテナンス作業をしており、社外からサーバーに接続するためのIDやパスワードを知る立場にあった。冨安容疑者とはハッカー仲間で、元派遣社員が同社をやめた昨年五月ごろ、サーバーへの接続を冨安容疑者の前で実演した際、冨安容疑者が接続に必要なIDやパスワードなどを記憶したという。
冨安容疑者はそのころからたびたび同社のサーバーを通じて、顧客情報などの情報を入手。そのことを知った森琢哉容疑者が森洋被告に報告し、森洋被告を中心に恐喝を企てたとみられる。
東京地検は、森被告の公判での冒頭陳述で、森被告が入手した顧客情報は約四百六十万件であることを明らかにしている。
「ヤフーBB」顧客情報、元派遣社員からパスワード【産経】
http://www.sankei.co.jp/news/040530/sha090.htm
インターネット接続サービス「ヤフーBB」の約460万人分の顧客情報が流出した事件で、警視庁捜査一課は30日、サービスを運営するソフトバンクへの恐喝未遂容疑で、東京都新宿区、無職、冨安泰生(24)と、文京区、森琢哉(35)の両容疑者を逮捕した。
冨安容疑者は、ハッカー仲間だった元ソフトバンク契約社員(30)からパスワードなどを入手し、外部のパソコンから関連会社のコンピューターに不正に接続した実行犯とされるが、「恐喝行為に当たるとは思わなかった」と容疑を否認しているという。森容疑者は容疑を認めている。
ソフトバンクはこれまで「外部から侵入して盗み出された可能性は低い」としていたが、侵入は容易だったことが明らかになり、大量の個人情報を扱う企業の情報管理のずさんさがあらためて批判を浴びそうだ。
この事件では3月、顧客情報を使ってソフトバンクから現金10億−20億円を脅し取ろうとしたとして恐喝未遂罪で、右翼系政治団体の元代表で出版業、森洋被告(67)ら2人が起訴されている。
冨安容疑者は今年1月上旬、東京・新宿の歌舞伎町付近のインターネットカフェで、元契約社員から入手した接続パスワードを使って、ソフトバンクBBのコンピューターに接続して名前や住所、メールアドレスなどの顧客情報約460万人分を入手。
また森容疑者は冨安容疑者を義父の森被告に紹介。2人は森被告らと共謀し、データを入手した直後の1月21日、このデータを元にソフトバンクから現金を脅し取ろうとした疑いが持たれている。
冨安容疑者が使ったパスワードなどは、通常のサーバーが異常な時などに遠隔操作で修復に使われる「メンテナンスサーバー」に入るためのもので、通常のサーバーにある顧客情報や業績などの情報も閲覧できた。冨安容疑者はサーバーにかかわる仕事をしていた。
しかしパスワードなどは元契約社員が出社しなくなってからの約1年間、1度も変更されておらず、外部侵入が容易なまま放置されていた。
事件は2月に発覚したが、ほぼ同時期に木全泰之容疑者(32)が森被告とは別に顧客データを持ち出してソフトバンクを脅し、恐喝容疑で逮捕、起訴されている。
(05/30 23:33)
派遣VS.正社員 モラルハザード生む職場の葛藤【asahi.com記事】
http://www.asahi.com/job/special/TKY200405190184.html
企業から、顧客情報の流出が止まらない。背景にあるのは、何か。急速な職場のIT化と複雑な雇用形態の中で重なり合う不満と、不安と、プライドと――。(AERA編集部・井原圭子)
◇ ◇
半信半疑だった。だが「実物」を見たら、背筋が寒くなった。
氏名、住所、電話番号、出身学校。それがエクセルの一覧表になっていて、次々に表示される。出どころは明かせないが、ある大手企業の人事情報の一部だという。
東京都内に住む20代の元派遣社員の男性。昨年まで、様々な企業のデータセンターにSE(システムエンジニア)として派遣されていた。有名メーカーなど大企業を中心に、ほぼ半年ごとに1社のペースで渡り歩いた。その間、仕事の合間を見ては、その企業の顧客や社員の個人情報を少しずつ取り出していたという。
主な仕事は、システムの運用と監視。派遣先の企業からは、管理者権限を持ったIDとパスワードを与えられていた。それを利用してダウンロードしたデータを、日常的な業務であるバックアップのふりをして自分のCD−Rに落とし、そのまま持ち帰った。怪しまれたことはなかった。作業室に正社員は一人もいないし、夜勤のときは時間も十分あった。
●会社には「義理ない」
集めた個人情報は、相当な量になった。冒頭のデータは、その一部だという。
現行法上は、派遣先から守秘義務違反を問われるとしても、電子化された顧客情報を持ち出すだけなら犯罪にはならない。05年4月には個人情報保護法が完全施行されるが、従業員には処罰規定がない。他人のID、パスワードを使うわけではないので、他人に売ったり見せたりしなければ、不正アクセス禁止法にも触れない。
自分のハッキング技術を試したい。そう思ったのがきっかけだと男性はいう。個人情報の中身には興味がない。仲間内で「○○社のシステムはどこが脆弱(ぜいじゃく)」といったやりとりをする。派遣先の上司に進言し、セキュリティーを強化することもある。一方で、知人を通じて「顧客情報を売らないか」ともちかけられることもある。さすがに応じたことはないが、情報の持ち出しについては、
「正社員だと、バレたらクビだし、苦労して就職した会社の首まで絞めかねない。派遣社員なら、スキルがあれば派遣先はすぐ見つかる。会社への義理もない」
男性はそう語る。
企業からの顧客情報の流出が止まらない。電子情報を記憶する媒体の小型化で、一度に持ち出される情報の量もけた違いになった。
この1年間だけで600万人以上の顧客情報の流出が判明している。
451万人分、「史上最悪」の個人情報漏洩が問題となったヤフーBB事件では、4人の男が恐喝未遂容疑で逮捕された。その中に、元派遣社員の被告(32)がいた。他の3人とは無関係の単独犯だった。
●「きわめて危険な状況」
「ご迷惑をかけたことを深くおわびします」
4月26日、東京地裁の初公判で、この元派遣社員は涙声になり、うなだれた。
起訴状などによると、昨年6月まで派遣社員として働いていた名古屋市内のヤフーBBの中部サポートセンターで、90万人分のデータを不正に入手し、退職後の今年1月、運営会社のソフトバンクBBに1000万円で買い取れと脅迫するメールを送った。
法廷では、犯行の経緯や動機を詳細に語った。ごみ集積所で顧客情報の入ったCD−Rを拾い、職場の端末からも、マウスを数回クリックするだけで、大量の顧客情報を一覧できることに気づいたこと。昼休みなどを使って情報を保存して持ち帰ったこと。名簿業者に買い取りを断られたこと。だが、脅迫は金目当てではなかったという。
「人と接するのが苦手で、メールをやりとりする友達もいなかった。いたずらメールに会社が対応してくれて、孤独が紛れた」
事件の衝撃は大きかった。企業の危機管理が厳しく問われるとともに、「派遣社員に情報管理を任せるのは危ない」という考え方が広がってきたのだ。
ソフトバンクBBが警察庁出身の宮脇磊介氏らに委嘱して事件後設けた「個人情報管理諮問委員会」は、3月にこう提言をした。
「派遣先企業は派遣社員の氏名程度しか把握できないことが多く、安全管理上、きわめて危険な状況。法改正などで派遣社員の管理を強化できるようにすべきだ」
総務省も、顧客情報を扱う派遣社員は派遣先企業と誓約書をかわすことなどを盛り込んだガイドラインの検討を始めた。
なぜ、派遣社員を通じて顧客情報が漏れるようになったのか。
「03年版人材派遣白書」の中で、派遣業者はこう述べている。
「派遣業務の自由化が進み、顧客情報や機密情報を扱う部署にも派遣社員が配属されることが増えたためだ」
99年にはNTTドコモの派遣社員らが顧客情報を外部に漏らした事件が発覚した。02年には、富士通の下請け業者のSEが出入り先である自衛隊の内部情報を持ち出した。03年には、NTTデータの業務委託先の社員が通勤電車の網棚に顧客情報4300人分の入ったノートパソコンを置き忘れ、紛失する事件も起きた。
『迫りくる受難時代を勝ち抜くSEの条件』などの著者でITコンサルタントの増岡直二郎さんは、
「急激なIT化があらゆる企業で起きた結果、従業員のモラルハザードを招いているおそれがある」
と指摘する。具体的には次のような構図だ。
80年代以降、ドイツのSAP社などが開発したパッケージソフトによって、給与、会計、営業、設計など企業の基幹業務、顧客管理業務などがIT化された。その結果、これまでコンピューターとは無縁だった企業でも、職場の隅々にまでパソコンが行き渡り、社員や顧客のあらゆる情報がサーバーに蓄積されるようになった。
●高いスキル、低い待遇
しかし、いくら便利なソフトを入れても、ITにくわしい人間がいなければ使いこなせない。そこで即戦力として、スキルを持った派遣社員がシステム部門や総務部門などに進出し始めた。導入先の企業の多くは正社員のITの知識や意識が低いため、情報管理は派遣社員に丸投げされる。これがモラルハザードの第一の要因だ。
第二の要因は、派遣社員を取り巻く職場環境と関係する。派遣という働き方は、元々SEを想定して始まった。高度な技術が求められるが、仕事は短期集中型で、長期雇用に向かない。だが実態は、スポットでは高収入でも、雇用は不安定で、社会保険や福利厚生を含めた待遇は正社員に比べて見劣りがする。さらに、SEにもゼネコンと同様の重層的下請け構造があり、派遣SEの下に、さらに別会社から派遣されたSEが何層にもぶらさがっていることが多い。
この二つの図式は、正社員の側からすれば、あたかも産業革命の時のように、ITスキルの高い派遣社員に仕事を奪われるというやるせなさとあきらめに、派遣社員の方からすれば、重要な仕事を担っているのに、立場も待遇も不安定という不満につながる。
極端な言い方をすれば、これらが絡み合って鬱積した職場に、膨大な顧客などの個人情報と、それを自在に取り出せる権限が放り出されているのだ。
増岡さんは、情報管理の強化もさることながら、「最大の問題はトップの意識」とも言う。
●予兆も見て見ぬふり
ソフトバンクBBで働いたことがある30代のSEは話す。
「別の部署でも、昨年秋まで、顧客データベースの情報が簡単に見られる状態で、そこにアクセス権限のない派遣社員が月平均で30〜40人、出入りしていたそうです。社内でも指摘はされていたのですが、コストや手間がかかるからという上層部の判断で、対応が先送りされた」
ソフトバンクBBに限らず、最近、問題の起きた企業は、いずれも外部からのハッキングではなく、内部からの漏洩だったことが判明している。多くはまだ「犯人」の特定に至っていないが、顧客情報データベースにアクセスできるID、パスワードを付与されていた人数は、例えばソフトバンクBBでは135人に上り、そのうち97人は派遣を含む外部の人だった。
「一歩間違えば、私だって情報漏洩の犯人にされてもおかしくない立場でした」
そう話すのは、4年前に半年間、中堅の物流会社に派遣されたSEの女性(38)だ。
システム開発をする契約で派遣され、顧客情報データベースを使って受注管理のソフトのプログラミングを頼まれた。しかし、肝心のデータベースを管理している正社員はおらず、最高責任者の支社長はメールの管理もできない「IT音痴」だった。
数億円かけて導入したデータベースはデータがたまって動作が重くなり、たびたびシステムダウンを起こした。契約外の仕事だと思いながらもまずメンテナンスに手をつけたが、作業していて、とんでもないことに気づいた。社外から簡単にデータを見られる状態になっていたのだ。退職した元担当社員が自宅から管理できるように支社長が指示していたためで、実害はないものの、放置すれば重大な情報流出を引き起こしかねない。
上司に言ったが、対策に動こうとしない。実は、同じ問題に代々の担当者も気づいていたが、経費節減の方を優先する支社長は聞く耳を持たないため、見て見ぬふりをするようになったという。
「でも実際に問題が起きたら、責められるのは私たち。安い時給なのに、トップの無理解でリスクを背負わされるのはまっぴら。派遣期間が切れるのを待って即、辞めました」
もちろん、「ハッカー派遣社員」は例外だろうし、ほとんどの派遣社員はプロ意識を持って仕事をしている。しかし、ヤフーBBの事件以降、セキュリティー強化の一環として、派遣社員から住所や自宅の電話番号などを書いた秘密保持の誓約書を取る企業も増えてきた。ただ、これだと派遣会社の頭越しに誓約書をかわすことになり、「派遣先企業と派遣社員の間に雇用関係はない」とする労働者派遣法の趣旨に反するおそれがある。
労働者派遣は企業にとって都合のよいしくみだ。解雇の制限や社会保険料の負担といった「雇用者責任」を負わずにすむ。かわりに、派遣先は派遣社員のプライバシー情報をむやみに入手すべきでないとされる。容姿など、スキルと関係ない理由で派遣社員を選別するのを防ぐためだ。
●「悪代官」と共通の心理
法政大経営学部の佐野哲教授はこう指摘する。
「企業が、派遣と正社員に担わせる業務の切り分けをきちんとできていないことがまず問題。重要な情報を扱う部署は、定型的な作業でも正社員が担うべきです」
労働者は納得のゆく待遇や報酬が与えられなければ、仕事の手を抜いてバランスを取ろうとする。権限を持たされれば、悪用する者も出てくる。
「たとえて言えば、時代劇に出てくる悪代官でしょうか。代官は一定の権限はあるが正規の役人ではなく、身分は不安定で低賃金。そこで権限をかさに商人からわいろをもらい、埋め合わせる」
それは正社員でも変わらない。コスト削減を追求する企業は、代わりに、重いツケを払わされる時代にもなっている。 (AERA:2004年05月17日号)