*朝日デジタルニュース
http://www.asahi.com/articles/ASG7Q0154G7PUTIL01Y.html
===========================
ベネッセ流出2260万件に 新たに通販サイトからも
・・・この事件では、不正競争防止法違反容疑で逮捕された外部会社の元システムエンジニア(SE)松崎正臣容疑者(39)が、顧客情報を私有のスマートフォン(スマホ)に転送して取得したことが判明。ベネッセがこのスマホに6月17日と27日に保存されたデータを解析した結果、判明した。
ベネッセHDはこれまで、26サービス計760万人分の流出を名簿業者から取得した情報から確認し、最大2070万件に及ぶと説明していた。
===========================
このSEは会社からデータ管理のためにベネッセの子会社に派遣されていた。テレビで住居情報が流れたが、狭いところに家族と住んでいた。借金があったという報道も流れている。
一般的な話だが、企業の命ともいえる重要情報の管理に外部SEを使うのはじつにまずいと思う。ベネッセホールディングスとシステムを管理していたベネッセの子会社にも大きな給与格差があるだろうし、その子会社に派遣されていたSEがもらっていた給料はさらに格差があったに違いない。
企業機密に関わる重要な仕事をしながら、給与格差の大きな子会社の社員やその親会社の社員と一緒に仕事をする。派遣されたSEの方が技術的には上というのはよくあるケースだが、給与は比較にならぬほど低い。これは大きなストレスであると同時に、データを保有している当該企業にとってはリスクである。
データ管理という仕事は、さまざまなデータへのアクセスを付与されて成立する。その気になったらいつでもでーたのコピーの方法は見つかるものだ。
わたしは1980年頃にプログラミングを覚えて、経理システムと納期管理・決済システムデータの管理を担当していたが、管轄外である給与データの管理が大丈夫か試したことがある。プログラムを組んでデータを画面にアウトプットすると、ファイルの中のレコードの長さやデータタイプがわかってしまう。あとは簡単だ。三菱電機のオフコンだったが、どんなにコンピュタの性能がよくなっても、データにアクセスする権限のあるものがデータをコピーしようと思ったら簡単にできる。内部でも不心得者がいればいつでも興味のあるデータを閲覧できるし、コピーもとれる。COOLというダイレクトアドレッシングのユニークな言語を使ったプログラミングは社内に他には誰もできる者がいないのでデータの安全性は確保されていた。給与プログラムが保存されている8インチフロッピーがなければわたしの他はだれも給与ファイルを閲覧できない。それは業務を担当していた役員が自分の机に鍵をかけて保管していた。社員数200名弱の会社だったから、コンピュータ関連業務に携わっている社員は5名ほどだったから安全管理は容易だった。社員数が1000名を超え、従業員総数が2000名を超えるような大企業ではそうはいかない。独立のシステム部門があって、国内最大の汎用大型機(84年当時)を運用していたから、業務に携わる社員も多かった。人数が増えればセキュリティのやり方も規模に応じたものに整理していかなければならない。それにしてもこの35年間のコンピュータとそのシステムの発展はすさまじい。問題を予測して対応していても予測外の問題が出る。ましてやセキュリティをあまり考えていないシステム部門責任者や経営者のいるところでは、あぶない。システム・セキュリティは人事や経営方針、システム部門の責任者の資質の問題、システム部門の役割認識などトップマネジメントにかかわる部分が少なくないからである。
安全性を考慮したら、全国模試を実施している教育関連企業は、強力な管理者権限を付与せざるを得ない仕事を外部委託してはいけないのだろう。
こういう仕事はリスク管理上ベネッセホールディングスの社員が担当すべきで、派遣社員も子会社社員も使ってはいけない。ベネッセはシステム部門を別会社化したのだろうが、教育産業で顧客情報の価値が高いからコアの部分は別会社化してはいけないのだろう。
では内部に有能なものがおらず、外部の優秀な技術者が必要になったらどうするか。
移籍についてその会社と交渉すればいい。その社員の年収の2年分くらいを払ってやれば移籍交渉はまとまるだろう。引抜を露骨にやるとその企業にダメージをあたえ恨みを買うから、それなりの金銭で話しをつければいい。
年収が1.5倍~2倍になるだろうから、移籍した人に忠誠心が生まれることが期待できる。生活がいい方へがらりと変わる。問題がないわけではない、長く勤務している他の社員とのバランスを考え、処遇がむずかしい。
関係者はみんな得をする、あとは社内に不和が生まれないような処遇の仕方を工夫すればいい。
強力な管理者権限を伴う仕事は本社にコアのシステム部隊を残しておくべきで、そこで処理できる体制をつくっておけというのがebisuの結論。実務の振り分けはなかなかむずかしいだろう。
------------------------------------------------
< 余談 >
わたしがいた大手臨床検査会社は、会計情報システムの開発と管理は外部委託していた。自社のシステム部隊は業務系システム専用のメンテナンス部隊で、会計情報システム開発能力もメンテナンス能力もなかったからである。
一人だけ先の見える課長が居た、Kさんという。三代のシステム部長とはそりが合わなかっただろう。三人ともシステム屋ではなかったからだ。職人の世界とはそういうものだ。Kさんはデファクトスタンダードとなった臨床検査項目コード作業で重要な役割を果たしてくれた。ebisuが入社2年目に企画書を描いて経営会議で創業社長のOKをもらった臨床診断支援システム開発(全国の主要大学病院および疾患別有力病院をネットワークでつなぎ、疾患ごとの診断手順をシステム化するもの。途中からNTTデータ通信事業本部と一緒に検討)を十余のサブプロジェクトに分けていたが、そのひとつに日本標準検査項目コードの開発と普及があった。臨床病理学界の臨床検査項目コード検討委員会を立ち上がったばかりの大手6社の臨床検査項目コード検討委員会と合流させた。産学協同の検査項目コード検討委員会にK課長がシステム部長の反対を押し切って臨床化学部長と一緒に参加してくれた。いま日本全国の病院の院内システムがその標準コードで動いている。コード管理事務局はいまでもわたしがいた会社が担っているだろう。
この企画書を描いた時点(上場準備要員として転職2年目)の私の所属は経理部管理会計課だった。統合会計情報システムを8ヶ月で開発完了し、全社の予算編成および管理を統括し、固定資産管理実務フローの作成とシステムの作り直しをついでに担当していた。予算で作成した減価償却費が1億円も実績差異が出てしまうので、なんとかしないと上場要件を満たす予算精度がクリアできなかった。不思議な会社で、平社員前者予算管理の統括という大きな権限が与えられていた。85年当時で300億円ほどだった。東証Ⅱ部上場準備中で、やるべき仕事が満載だったから、やれる者なら誰でも使えという時代だった。上場準備で組織権限規程を整備してからはその規程に基いた運用がなされる。84年という実に面白い時期に中途入社したと思う。飛んで火に入る夏の虫のようなもの。
1984年に開発した会計情報システムは経理(予算・決算)および支払業務システム、購買在庫システム、原価管理システム、販売および請求業務システムから構成される統合システムの一部だった。当時富士通最大規模の大型機を使用し、時代の先端システムだった。業界内で統合システムを開発できた会社はかなったし、日本全体で見ても少なかっただろう。
一番の難所は各サブシステム間のインターフェイス仕様だった。これら四分野の業務に精通しているのはもちろん、深い専門知識が要求される。もちろんシステム開発に関する専門技術もかな備えていなければ、SEに外部設計仕様書を書いて渡すことなどできない。インターフェイスが決まらないと各サブシステムの開発がストップする。5つの開発チームの合同会議は暗礁に乗り上げていた。他の全チームからの依頼で、一番最後に上場準備要因として入社したebisuが担当することになった。経理・支払管理システムと他のシステムとのインターフェイス仕様書を1週間で書き上げてそれぞれの開発チームへ手渡しした。
各システムについてebisuには前の会社で専門知識と経験があったのである。魔法でも使うように暗礁に乗り上げていた仕事を引き受けて次々に解決するので「悪魔くん」というあまりかんばしくない渾名がついたが、前の会社で何をやっていたか喋らなかったので知られていなかっただけのこと。最後の頃はまだ50歳前なのに合弁会社で「苗字+爺」と呼ばれていた。「○○じい」このニックネームはえらく気に入っていた。五人がこのあだなで親しみを込めて呼んでくれた。(笑)
開発および運用委託先のNCDさんのSEたちとは個人的に年に数回お酒を飲んでお付き合いをしていた。担当SEが5名ほどいたが腕は業界トップレベルの職人、信頼できる人たちだった(危ないと判断したら、それなりの対応をとっていただろう)。
わたしのいた臨床検査会社は圧倒的な品質を誇っていたので、顧客情報が流出しても買い手がない。なぜなら個別ユーザごとの取引単価を知っても役に立たないからで、他の検査センターに比べて取引単価が高いことは業界の常識だったからデータを盗む意味もなかった。
受託している約3000項目の検査項目の内、2700項目は採算の合わない検査だった。しかしその2700項目の赤字項目を受託するおかげで残り300項目が全国の大学病院を中心に圧倒的に高い価格で取引してもらえた。主力300項目で売上の7割くらいを稼いでいた。
ある検査会社の顧客取引情報が流れていたことは郡山の会社に出向したときに知っていた。顧客マスターには病院別・検査項目別の取引単価が載っているから、それより少し低く設定してそれぞれの病院と交渉したら売上を容易に増やすことができる、経営力の弱い会社の戦略としては有効だろう。しかし、どこかがそんなことをし始めたら、他の会社もやりだすから業界全体にとってタメにならない。臨床検査会社の経営者に良識があれば、顧客マスターが流出しても、流通しない(買い手は現れない)のである。
自社のSEでデータ管理をやっても処遇が悪ければ情報漏洩を完全に防ぐことはむずかしい。
最後は人だ、好い加減な人間を雇えばそれまで。その会社の社員一人一人が、処遇に満足し仕事に誇りをもっているかどうかが大切だ。
ズルをしない、品質を守ることを最重要と考える経営方針を社員に周知徹底できるかどうかが問われる。精神論だけではダメで、処遇も技術レベルに応じていなければならぬ。好い加減な経営方針で好い加減な処遇をしたら、仕事に誇りをもてぬ社員がいたるところに存在してしまう。
笑い話になるが、合弁会社の役員をしていたときには、本社社長へ重要な報告は社内e-mailを一切使わなかった。システム部にはe-mailの管理権限をもっている社員が何人もいた。面白半分に読む可能性があったからである。機密事項を知れば「内緒の話だけど・・・」と尾ひれがついて面白おかしく伝わる。トラブルを未然に防ぐ必要があった。別の会社に出向したときに本社取締役会資料ですらコピーが業界内に流出しているのを知っていた。だだ漏れするのはコンピュタデータだけではないのである。だから三つの課題に関しては定期的に報告文書を作成して専用封筒に入れて封緘して社内メール便で届けていたが、最重要な情報は本社社長に直接会って報告していた。課題の進捗状況は文書で毎月のようにしていた。判断を仰ぐ事項が発生しない限り、「業務進捗連絡」である。仕事の進捗にしたがって、親会社のそれぞれの関連部署との調整事項が発生する。ラボ担当役員を中心にスムーズに調整作業がなされた。
三年間という期間をきって三つの課題を片付けるようにというのが合弁会社発足時の本社社長の指示だった。三年間三つという数字を見て、システム専門家ならこの指示の見事さがわかるだろう。この時点で課題は期限通りに達成されることが保証されたようなものだった。こういう面ではじつに勘のよい人だった。馬が合ったのである。
創業社長のあとを継いで社長に就任したKさんは、元厚生省の医務技官、課長補佐の職から創業社長に誘われての転職だった。創業社長は小児科医だったがKさんも医者。弊ブログカテゴリー欄に「養老牛温泉夜話」というのがある。そこに7本ぶら下がっている。地域医療と教育について語り明かした。
にほんブログ村