Langley のサイバーノーガード日記　見えない内規　事件化しないライン

　筆者は、これでも普通に会社勤めをしていたことがある。総務や人事、経理などにも関わった。その時、何度か事件に遭遇した。そのまま警察に届ければ刑事事件になるようなものである。ひとことで言うと横領などといった犯罪だ。

　しかし、それらが表沙汰になることはなく、犯人はのうのうと暮らしている。なんでこのような事態が起きるかと言えば、一つには横領事件などというのは世間体が悪く、会社全体の信用を毀損するのではないか、という危惧。そして、面倒を避けたいという消極的だが実務的な判断に基づいている。ひとたび警察に届け出て、刑事事件となってしまえば、警察の捜査やら裁判への出廷やら証拠の提供やら、面倒なことおびただしい。その上、そんなことをしても会社にも担当者にもなんのメリットもない。通常業務に支障が生じるというマイナスしかない。

　となれば、いきおい社内で処分するだけ、せいぜい懲戒免職にするくらいで終わってしまう。もちろん、公正証書を作成して、損害の分は本人に賠償させることになる。いわゆる紙をまくというやつだ。

　もちろん、ひどく悪質な場合や金額が大きい場合、外部に事件が露顕してしまった場合は、警察に届けることになる。

　しかしながら、この事件化するラインというのがきわめて不明瞭である。明文化されていない。刑事事件なのだから、ふつうはそのまま警察に届けた方がいいのだろう。だから、あえて、ここまでは内部で処理する、ここからは警察に届けるという規定がないのだろう。あいまいではあるが、不文律という形で、なんとなく代々の総務、人事、経理担当者はそのラインを心得ていたようだ。

　顧客情報を外部に持ち出して換金するといったサイバーセキュリティ関連の犯罪でも同様のことが言える。以前、社内でサイバー犯罪を解決するための専門家が必要というコラムを書いたことがある。

サイバー私立探偵の必要性について　−アリコ事件から推測すること
https://www.netsecurity.ne.jp/3_14193.html

　解決するための専門家も必要だが、もう一方で犯罪といえども社内で管理する必要がある。どこから警察に届けるべきであるかという判断基準を明確化しておく必要がある。

　総務や人事、経理の担当者が、代々受け継いできた不文律のラインのようなものをシステム部でも持つ必要がある。

　チェックポイントには下記のようなものが考えられる。

・事件が外部に漏れているか・事件を外部発表するか・被害規模はどれくらいか・原因究明と犯人の特定を社内でできるか・犯人のこれまでの勤務態度はどうか・犯人の動機および再犯可能性はどうか・犯人の性格、態度はどうか

　さらに加えて考慮しなければならないことがある。

　Pマーク、ISO、経産省ガイドラインなどなどとの兼ね合いだ。これらの指針に沿って事件を外部に公開するとなると、当然、その処理方法も違ってくる。もちろん、指針にしたがわないという見えない内規を運用する会社もあるだろう。これは今までの総務、人事、経理にはなかった調整事項だ。

　言ってみれば裏規定である…

【執筆：Prisoner Langley】
執筆者略歴：
　民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会（ACCS）のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。
　4コママンガを描くこともある。執筆依頼はSCAN編集部まで

【関連リンク】セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/