シルエットスタヂオ

・システムの運用が長くなると関わる人も増える

　ごく一般のの企業に於いて、顧客情報を電子化して管理している限り、情報の流出はある意味必然と言える。管理者は直属の社員だとしても、当該部門で実務に当たるのは端末操作に長けた派遣社員になる場合が多いし、その派遣さんは現行3ヶ月単位で少しずつ入れ替えになる。要するに、顧客管理システムで実際の運用に関わる人間は時間と共に入れ替わり増え続けるし、そうすると中には悪いヤツが出てくるってコトだ。それにすら気付かない企業が現状大半だが、まぁ、仕方がない（笑）。

　泥棒とかあからさまに悪いヤツはまだ判りやすいし逮捕されたりするんだが、実際の現場は呆れる程ヌルい。顧客情報を扱うというコトがどういう意味なのかまるで判っていないのだ。某業界最大手の某企業が十数年前、当時世界最大といわれた大規模オンライン顧客管理システムを構築した。セキュリティは万全で、担当者ごとにIDカードを発行してログインするから、誰がどんな処理をしたのか履歴が残るのは勿論、顧客情報の閲覧ログまで管理されている。システムは完璧と言えたのだが、運用がそれはそれは酷いものだった。

　ある日、支店からシステム部門に「顧客の契約が勝手に解除されているようですが?」と問い合わせが入る。調べたら本社法人営業部の社員が解約処理を入れていたので問い合わせすると、驚いたコトに「確かに私の名前で処理されているようですが、私が作業したワケではないので判りません」というお返事。曰く、自分のIDカードを派遣社員に渡して処理させているし、派遣さんは沢山居るし調べられない、だと。「自分のIDカードは自分そのものである。自分の名前で処理される以上、完全に自分の責任に於いて運用されなければならない」という当たり前の責任意識が皆無なのだ。何の為のIDカードなのかまるで判っていない。

　人気企業ランキングにその名を連ねる有名企業での話しだし、その中でも本社法人営業部所属となればかなり優秀な人材が集められているはずなのに、こんな初歩的な責任感が欠如しているのは問題だ。しかし、その上司が輪を掛けたバカだったのには呆れるしかない。IDカードは各部門ごとにカード管理責任者を任命して発行されるのだが、通常は課長クラスが担当する。この事件後、法人営業部のカード管理責任者はなんと、「共有（派遣用）」という名義のIDカードを大量に発行してしまった（笑）。コレではシステム開発部門も浮かばれないだろう。万全のセキュリティも運用者がバカだとなんの意味もなくなる。派遣社員が勝手に顧客情報を閲覧、持ち出ししても担当者を特定できないだろうに。

　勿論、運用についてはこのような様々な事例が集められ、厳格に規則がマニュアル化され、システムとして完成していくワケで、バカの所行はたちどころに修正されるのだが（笑）、コトはそれほど単純ではない。先のシステムではIDカード（担当者）ごとに、可能な処理の範囲（重要度）を設定できる。顧客のプライバシーに直接関わる重要な業務が必要になった場合、一般担当者が上司に依頼して処理するコトになるのだが、コレがどんどんなし崩しになっていくのだ。

　最初のウチは、訪れた担当者から依頼を受けた上司が「自分のデスクの端末にIDカードでログインして処理」するのだが、そのウチに「常にIDカードでログインしておいて担当が上司のデスクに来て処理」するコトになる。上司曰く、自分が不在だったり休んだりして業務が滞ると困る、となる。しかし最終的に上司は「自分のIDカードを担当者に預けて必要があったら現場の端末で処理」するよう指示してしまう。部下は信用できるし、わざわざ自分のデスクに来るよりも現場で処理した方が効率がいい、というのが理由だ。

　しかしそのホンネは、人間誰しもいい人でありたいし、部下に慕われる上司でありたいのだ。IDカードを厳格に取り扱う融通の利かないカタブツ管理職よりも、部下を信用して全てを任せられる心の広い頼れるアニキでありたい。この欲望に打ち克つコトの出来る人間が果たしてどれくらい居るのだろう。情報管理については、こういった心理的側面にこそ問題の本質があるように思う。

　一流大学卒ばかりを採用した一流企業に於いてさえ、顧客情報管理やセキュリティについての認識はこの程度なのだ。システムは日々開発されているし、専門家の研究も進んでいるだろう。しかし、運用する側の心理的要因についてはあまり語られるコトはない。現場で日々どのようなコトが起きているのか知る者は殆ど居ないのが現実ではなかろうか。現状を知らないから対策もできない。なので情報の流出は必然と言える。大事なデータの入ったパソコンでWinnyやるバカが一向に減らないワケだし。

---　続く　---