コンプライアンス徹底の流れ?

ぼやき #事件
mixiに、病院の看護婦が退職することを書いたことで、書き込んだ本人が解雇
になったという話。

PJの記事では伏字になってるが、実際の記事は具体的な病院名、看護婦の氏名
が書かれていたかは分からない。もし実名を挙げているのなら、処分は当然だ
と思う。

記事に「彼も反論すれば」とあるが、どこの部分で妥協点というか、処分を取
り下げられるポイントがあったと思うのかが、記者の記事に無い。
(最近、話題だけ振って、"あとは知らねー"的記事が増えてるので、腹立たし
く感じてる部分なのだが)


もし彼の処分を減刑できるとするなら、以下の3点が挙げられる。
・会社に、該当する規則、コンプラがあり、それに彼が同意していたのか。
・看護婦や病院側から、苦情があったのか。
・また会社にとって、彼の行動により、名誉毀損など実害を被ったのか。

即日解雇と言うが、なぜ解雇なのかも不透明ではある。というのは会社に損害
を与えたのなら「懲戒解雇」できるからだ。
懲戒解雇なら、記事にあるような"解雇予告手当"を会社が支払う義務はない。

また諭旨解雇という手段もあった。
諭旨は「離願退職の勧告」で、退職する行為は自己都合で退職するのと同義だ
が、退職金や解雇予告手当てが付く可能性はある。(但しここは会社によって
違うらしい)
諭旨は会社側にとっては即日解雇はできないから、PJ記事にあるような即日解
雇させたい場合は不適当かもしれない。ただ本人から退社願を出させた上での
行動になるので、労基局から文句いわれる可能性は少ない。


むしろ俺はこの記事を読んで、なんで会社側が懲戒解雇しなかったのか?とい
う方が疑問に思う。もしくは諭旨解雇すれば、即日解雇は無理にしても、会社
側は一歩下がって行動をとったということにもなる。

あとは会社側に情報漏洩に関する規則があって、その教育を行った上で社員と
の間に同意書が交わされていたか?ということだ。


「個人情報の流出」についての線引きは、確かに甘い気はする。
しかし書込み側は「会社を知人が退職した」やという言い方はできるわけで、
そこを「日の丸病院を伊藤美咲さんが辞めて・・」という実名を挙げて言った
のなら、それは情報漏洩という見方はできる。
(念の為、日の丸病院、伊藤美咲は架空の名称と断っておく。)

PJ記事を読む限り、まあ双方ともに突っ込み所は満載だが、解雇側の彼側に立っ
て会社側を非難することも出来ない、というのが俺の思いだ。


----
で、やっとジャパネットの話。

さすがに「20回金利手数料無料!」で賠償金を支払ってもよいと高田社長が
言ってくれるかは知らないがw

昔、ソフトバンクBBで 451万件の大量の情報漏洩があったが、ジャパネットの
ような中企業でも、このように告訴をして賠償命令を下すということは、今後
大いに進んでいくのだろうなあ、と感じた。
ソフトバンクBBの場合、概算で100億円規模の損害。また同社は補償額40億円を
利用者に支払った。

ほかにもプロバイダから情報が流出した事件が数多くあったし、ソフトバンク
の携帯事業側でも少ないながらも情報漏洩が続いている。


ジャパネットの事件では、51万件が流出。約26億円以上の損害を被った。

多分判例などから見て1億円と言う賠償額を設定したのだろうが、アメリカだ
と26億円いやそれ以上の賠償額を求めてくるのだろうなと思う。


P2Pソフトがウィルスに感染して流出したケースも少なくないが、大量のデー
タが流出するケースにおいては、多くは"人"が介在している。しかも意図的に
起こしているケースが殆どな気がする。

車で人身事故(被害者、後遺症傷害)の場合で、賠償額が3~4億円。
これを考えると1億円という重みが感じられると思う。

実害の26億円の上に、売上額で 150億以上の損害もあっていると報じられてい
る。1億円もどってきたとしても、焼け石に水。こう思うと、たぶん高田社長
としても、世間に訴えるためという意図があったのかもしれない。

名のある企業が、こうやって損害賠償を求めて、結果が出た。というのは、コ
ンプライアンス社会、新会社(JSOX)法下においては、経験不可避な事柄である
ように思う。

これが判例(基本的考え)になるのだから、それこそ組織的な行動を除いては
情報漏洩の件数は減っていくのでは?と思う。

抑止効果になることを、期待したい。



ところで。
このブログでも再三再四言っていることだが、個人情報はデータセンターに集
約し、その情報を利用する者は認証を介してウェブ上や専用ツール上で見るこ
としか出来ないようにしておく必要がある。

つまりそのファイル単体で動いて、情報を閲覧できる。と言う形になっている
のは一番危険だ、ということ。

ウェブシステムにしていても、情報ファイルを一括ダウンロードするというの
は駄目。ダウンロードのシステムを入れるにしても、どれの、誰の情報をDL
したかが記録として残るような形でなければ、危険。

流出を完全に出来なくするのは無理だろう。例えばパソコンの画面をデジカメ
で撮影したり、ハードコピーすれば流出できたことになる。
テキストコピーにしても、IEでは有効だが、Firefoxでは意味がない。

表示するデータを全て画像化すればテキストコピーは取れなくなるし、Print
Screenを禁止すればハードコピーも難しくなる。
情報を見るには、モーダルコンソール上のみにするか、ウェブシステムなら、
セッションを極力短くして、パソコン上に保存できないようなロジックを埋め
込んでおく必要がある。

当然、データベースに直接アクセスできるのは正社員のみとして、外注社員に
触れさせることは厳禁。(開発中ならデモデータで十分)

いろんな所で言われているが、顧客情報をExcelファイルやテキストファイル
で保存するというのは、もう罪意識がないのと同義。
データはその場でシステムに入れて、情報単体がパソコン上でだけ再現できる
というような姿、形になっているのは「犯罪だ」という意識が必要だと思う。





mixiへの書き込みで即日解雇(PJnews)
http://news.livedoor.com/article/detail/3641781/

ジャパネット顧客情報流出 元社員の関与認める 地裁佐世保 1.1億円賠償命令
http://headlines.yahoo.co.jp/hl?a=20080516-00000011-nnp-l42