ここから本文です

もし自分が急死したら…… 会社における「デジタル遺品」対策

ITmedia エンタープライズ 7月22日(金)8時10分配信

 筆者は昨年、「『デジタル遺品』が危ない:そのパソコン遺して逝けますか?」(ポプラ新書刊)を出版した。本業の情報セキュリティからやや離れて、ボランティアで行ってきた「終活カウンセラー」の一貫として故人のデジタル情報の危険性などについて警告したものだが、今年だけでこのデジタル遺品の解説のためのテレビなど出演が10本を超えてしまった。その影響もあり、実にさまざまな意見や相談をいただくようになった。

【その他の画像】

 デジタル遺品について筆者は、ほとんどが個人的なものであり企業や団体は全く関係がないと思っていた。しかし、相談の3割は企業の人事担当、法務部、コンプライアンス部、総務部という職場からだった。そこで今回は、企業や団体というビジネス視点からデジタル遺品を解説してみたい。

●例1:急死した部長だけが知るパスワード

 中堅の設計事務所に勤務するA部長が交通事故で急死した。A部長はあるコンペに参加するために設計図の作成を急いでおり、そのプロジェクトのマネージャーでもあった。若い頃から腕の良さと感性の高さを感じられる設計が評価され、社内でも一目を置かれる存在だった。

 設計図はほとんど完成していたが、極めて重要なものであり、A部長は個人的に某ファイル管理ツールでセキュリティ対策を講じ、当然ながら複雑なパスワードを設定して管理していた。ところが、A部長の急死で周囲の設計図面を探したものの、どうしてもパスワードが分からない。結局会社はコンペに参加できず、多大な損害を被ってしまった。A部長に対する表面的な非難はなかったが、評価は失墜してしまった。

 A部長は、わざと他人にパスワードを伝えなかったのではなく、逆に会社の資産を守るために教えなかった。しかも、ファイル管理ツールのマスターキーすら誰にも教えなかったのである。この状況ではA部長が一方的に悪いのだろうか。このような「他人は信用せず、リスクを承知して責任者の自分だけが管理する」というケースは日本人にはなじまないが、諸外国では意外に多い。

 「デジタル遺品」という観点では推奨されない行為だが、逆に他人へパスワードを教えていた場合、その他人が悪用してライバル企業に情報を売り渡すこともあり得る。そうなると、A部長の評価は真逆になるかもしれない。

 このような場合におけるポイントは、まず本人が生前から「技術者(例では設計士)である前にサラリーマンである」という自覚を持つべきだ。

 時折、技術者魂の正義感から「全ての自分が責任を負う」という人がいる。一見格好がいいと思ってしまうが、組織人のサラリーマンとしては明らかに失格であり、単に自己満足しているに過ぎない。

 この例でも、部長とはいえサラリーマンである。その事実を認識して、常に「責任は上司以上が持つ」という原則に徹する。そうしなければ普段は会社が黙認していても、万一の場合は「トカゲのしっぽ切り」の目に遭う。自分だけが責任を取らされて、「はい、おしまい」になるという事態を想像しないといけない。

 A部長は、急死するような事態で自分自身に非が及ぶことのないように、パスワードを他人に伝えておくなど、生前から戦略的な行動を必ずしておくべきだった。例え、それで情報が漏えいしても、自分の行動が就業規則に従ったものなら、正々堂々と自分に非がないことを主張できる。この例では既に亡くなって主張できないが、生前のメールや作業報告書などにその記載があれば、A部長が非難されることはなかった(表面的に糾弾されることはなかったが、大きなペナルティになってしまった)。

 デジタル遺品に関しては、生前務めていた企業の「価値ある資産」についても常々注意をすべきである。

●例2:敏腕査定士が残した写真データ

 上場の不動産会社に所属するサラリーマンのB主任は、ソコソコ優秀な土地家屋調査士として活躍していた。「良い出物がある」と聞けば、全国各地に出向いてその土地や建物を撮影し、値踏みをしてライバル企業より先に安値で仕入れる仕事ぶりが評価されていたのだ。ところが自宅の火事で大火傷を負い、救急車に運ばれたものの、搬送先で2時間後に帰らぬ人となった。

 B主任の死後、オフィスの机の中から全国で撮影された物件の写真データを保存している4本のUSBメモリが見つかった。

会社はB主任がどのように物件を評価していたのかを把握しようと、USBメモリを全て分析した。B主任が消去したファイルにも重要な手掛かりがあるだろうと、消去済みファイルも復元させたが、その中から想定外のモノが見つかった。戸建住宅を中心に風呂場の画像が1000枚以上もあり、そこには小学生から中年までと幅広いが、全て女性の入浴姿が映っていた。

 会社はこの事実の公表を一度見送った。犯罪を見逃すというより、公表によって余計な面倒をかけたくないことや、既に死亡しているB主任を追及するのは心苦しいという理由だったようだ。しかし、こういうたぐいの噂は往々にして外部に漏れる。死亡から数カ月後には、警察に知られることとなり、企業の担当者や管理者、経営者が警察からおとがめを受けた。B主任の生前の名声はあっという間に地に落ちた。

 デジタル遺品はプラスの情報だけとは限らず、このようにマイナスの情報も含まれる。

 これらから考えるべきことは、例2のように会社のリソース(例ではデジカメやUSBメモリなどがあたる)で法律に触れる行為をするのは、極めてリスクが高いということだ(個人のモノでもそうだが)。「この程度なら……」「他人は気が付かないだろう……」という安易な考えで悪事をすれば、死亡後にそのしっぺ返しを食らう場合があることを肝に銘じてほしい。

 また、自己満足的な行動に走りがちという技術者なら、リスクマネジメントという考え方を良く理解し、安易な行動を絶対に控えるべきだ。「周囲は愚かだ。私がしてあげる」という思考に走る優秀な技術者は意外にも多い。常にリスクを回避し、分散化しておく基本がとても重要である。

 人間は「自分が突然死ぬわけがない」と思いがちだ。しかし万一死んでしまった場合に、同僚へスムーズに仕事を継承できる仕組みをいつも考えておくことが肝心である。終活カウンセラーもしていると、このことが実は情報セキュリティの基本にも通じると筆者は感じている。

●萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。

最終更新:7月22日(金)8時10分

ITmedia エンタープライズ