情報漏洩の処分って、何を基準にすればいいのか?

情報流出のIPA職員、停職3カ月の処分にCNET Japanより

独立行政法人 情報処理推進機構(IPA)は1月19日、同機構職員がファイル交換ソフトを用いて情報を流出させた件について、調査結果の詳細と当該職員の処分を発表した。当該職員はIPAの信用を傷つけ、名誉を汚したとして、停職3カ月の懲戒処分となった。

この職員は2008年12月にファイル交換ソフトを使用した結果、コンピューターウィルスに感染し、PC内の情報を流出させた。1月6日時点で、少なくとも1万6208のファイルが流出していることがわかっていた。

1月19日に発表された調査結果では、IPAに関連する非公開情報は流出が確認されなかったという。流出したのはIPAイベントの私的撮影写真および2007年のIPA職員海外出張伺いの下書きのみだったとしている。

ただ、当該職員がIPA採用以前に所属していた企業の業務に関する情報は流出したことが確認されている。西武百貨店は同社社員データが流出したことを発表している。IPAはこれらの企業に連絡するとともに、対応をサポートしているところだという。

当該職員がファイル交換ソフト「Winny」と「Share」を通じて、児童ポルノなどのわいせつ画像かな漢字変換ソフトを検索し、児童ポルノ画像の一部をダウンロードしていたことがすでにIPAから発表されていた。今回の調査では、かな漢字変換ソフト「ATOK」「ATOK Pocket」「ATOK モバイル」もダウンロードされていたことが明らかとなった。ただし、児童ポルノ画像、かな漢字変換ソフトともにアップロードした事実は確認されていないという。

IPAは再発防止策として、職員の私物PCにおけるファイル交換ソフトの使用を禁止するとともに、あらためて全職員に対し情報セキュリティ研修会を実施する。1月7日には事長を本部長とする情報流出対策本部を設置した。

基準ってなんだろう?・・・何をもって判断するのか?

以前にヤフーBBの大量流出事件があったときに、500円/1人のお詫びをしたことが、情報漏洩事件における1つの基準となったことを思い出します。

今回の事件において、このIPAの3ヶ月の停職処分ってのが、短いのか長いのか何ともわかりませんが・・・

1.少なくとも1万6208のファイルが流出したこと。

2.以前に勤めていた勤務先の情報も流失したこと。

3.諸外国ではもっとも罪の重い児童ポルノをダウンロードしていたこと。(日本では軽すぎる)

4.ATOKなどのソフトウェアを入手したこと。

5.何よりも、IPA職員がファイル共有ソフトを使い、ウィルスに感染し流失したこと。

これらを考えると、どんなモノだろう?・・・と。

これが、今後の情報漏洩における処分の基準にならない事を願うだけです!

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

社内だけで「公正な内部調査・適切な不正対策」が出来ますか?

近年は「企業等不祥事における第三者委員会ガイドライン」を設け、第三者による客観的な調査が増えてきました。

利害関係のない第三者でなければ、公正な調査が実施出来ないからです。

内部調査・社内不正・対策…においても、第三者の専門家に委ねなければ「内部の政治的圧力」「忖度」等により、正しい状況は見えてきません。それらの結果は歪められ隠ぺいされます。これはコンプライアンス以前の問題で、疑問に思った正しい行動さえも潰されていく…正義とは何なのでしょうか?

実際の不正な調査に数多く携わっていますが、相当な状況にあるのが現実であり、中々表面化し難い(ように仕向けている)のでわかりにくいものです。

9 thoughts on “情報漏洩の処分って、何を基準にすればいいのか?

  1. Jacques より:

    さらに補足すると、
    >3月以内の出勤停止とし、その期間中の給与は、情状により基本給、諸手当合計額の3分の1以内を減額する。
    だそうで、2/3は給与し払われる様子ですよ。

  2. 呑んべ より:

    追記:
    この事件については、情報処理推進機構の就業規則を確認したところ、懲戒処分では、停職3ヶ月が最高で、それよりも重い処分は、免職となっていました。
    機構としては、業務上のトラブルではないことから、「信用と名誉を傷つけた」という事で処理したようです。
    しかし、前職がソフト会社自営であり、経営者が起こした情報漏洩ということになると、その責はかなり重いものであると思われます。まぁ、ソフト会社と契約していた会社とジャストシステムがどのようにこの元社長に対して法的責任をとるかということになるのでしょう。
    業務上の過失ではないので、自己都合退職という形になるのではないでしょうか・・・また、ソフトウェア関連業界には、今後、就業することは、困難になるでしょうから・・・それらの結果から、この元社長の処罰は、いろいろな意味で決着がつくのだろうと思われますが、どんなふうになるのでしょうかね。

  3. 3倍早い赤 より:

    1〜5まで挙げてますけど、実際のところIPA関連の資料は殆ど無いようですね。つまりは1,2はIPA業務的には関係の無い話で、3,4は刑事的な問題ですからIPAが処罰したら逆におかしな話です。そこはお間違えのないように。
    3ヶ月が適当かは判断の分かれるところですが、IPA業務としてのセキュリティっていうのはこの程度なのかという気分にはなります。IPAの存在意義自体問われる問題だと思うんだけど…

  4. 新倉 茂彦 より:

    ぎょさん、コメントありがとうございます。
    >終業規則に基づいて当該職員に停職3カ月の懲戒処分を下した
    就業ですよね。就業規則を作った時には、今回のような事は想定されていなかったはずです。
    時代も変われば、事態も変わるのですから・・・と思います。
    意図的かどうは不明ですが、杓子定規に進めた結果ではないでしょうか?

  5. 新倉 茂彦 より:

    shivaさん、コメントありがとうございます。
    >今後は、各点の違法性をそれぞれ争い刑罰が決まっていく
    そうですね。
    事の重さを表す1つの判断になると思うのです。3ヶ月ってものが。難しいのかもしれませんが、このIPAとしての決め方が今後の基準にならないこと、にしてもらいたいです。
    >引用は「一部のみ」にすべき
    基本的に全文引用はできるだけしないようにしています。が、してしまいました。勉強になります。

  6. 新倉 茂彦 より:

    呑んべさん、コメントありがとうございます。
    >「飲酒運転をしたら解雇」という自治体があるのと同じように
    私も同じような感じを持っています。
    何とも・・・ですが、これが「信用と名誉」の値ってことなのでしょかね?

  7. ぎょ より:

    @ITの記事では、
    IPAでは同日付で、「当機構の信用を傷つけ、名誉を汚したことなど」を理由に、終業規則に基づいて当該職員に停職3カ月の懲戒処分を下した。
    となっています。終業は意図的?なんでしょうか

  8. shiva より:

    挙げられた5つの点から見ても、懲戒解雇でもおかしくないだろうと思いますね。とはいえ、これは組織内での処分に過ぎないので、今後は、各点の違法性をそれぞれ争い刑罰が決まっていくでしょう。
    正直、実名だしてもいいと思いますけどね・・・
    最後に、「情報流出のIPA職員、停職3カ月の処分に」の記事を転載してますが、CNETからの許可はあるのでしょうか?転載と引用の違いを調べてください。引用は「一部のみ」にすべきです。

  9. 呑んべ より:

    停職3ヶ月???どうして、そうなるのか思わず今後の参考にと、基準を教えて欲しいと問い合わせをしてしまいました。
    機構のサイトには、「機構の信用と名誉を傷つけた」ということで、処分を行ったということのようです。
    しかし、違法行為についての処分は行われていないようで、「飲酒運転をしたら解雇」という自治体があるのと同じように(この処分については、個人的には、懲戒権の濫用と感じてますが)、この機構の性格からしたら、「ファイル交換ソフトの不正利用をしたら解雇」くらいしても、飲酒運転の処分を考えれば、誤りでもないと思います。

この投稿はコメントできません。