スタッフサービスは被害者か？加害者か？個人情報漏洩事故について考える

INST石野＠ジャカルタ最終日です。

お陰様をもちまして月曜夜から日本を離れてインドネシアの首都ジャカルタにてパートナーやサプライヤーの人たちとのMTGや訪問を終えまして、今日の夕方のフライトでタイ経由で日本に帰ります。早く日本食食べたい。

時差があるおかげで早起きしても日本の朝の通勤時間にブログをお届けするのが間に合わず、お昼休み頃にご覧いただければ幸いです。

従業員が個人情報1.5万人分持ち出し　スタッフサービス

10日ほど前のニュースですが、人材派遣大手のスタッフサービスで個人情報漏洩事故が起こりました。

元従業員が1.5万人分ものスタッフサービスの派遣登録者のデータを持ち出し、自分が独立して立ち上げる会社の営業活動に使おうとしていたと。人材ビジネスの経営者からすると身の毛もよだつ用なおぞましい事件です。僕のブログユーザーの多くは人材ビジネスに携わっている方かと思いますので、少しこのニュースについて自分の考えをまとめていきたいと思います。

いわゆる抜き出し持ち出し系の個人情報流出について考えてみましょう。

スタッフサービスは加害者か？被害者か？

言うまでもありませんが、情報が漏洩してしまった派遣登録者の方々は間違いなく被害者ですし、情報を持ち出した元社員は加害者です。一番悪いのはこいつで間違いない。

では、スタッフサービスは加害者なのでしょうか？被害者なのでしょうか？これは非常に難しい問題で意見が分かれることと思いますし、両方のロジックが成り立ちます。

が、僕は被害者側であるような気がしてなりません。

◆「被害者」ロジックの証明

「社員の管理監督も出来てなかったのに、何が被害者じゃ！ボケ！」という意見もあることと思います。それもまたおっしゃる通り。

これが「持ち主」が「管理監督」すべき「大事な物」であったと考えて、他の状況に置き換えてみたらどうなるのかと。

例えば、家に比較的自由に出入りができる妻の親しい友人が、家からお金を盗んだと考えると、

妻：スタッフサービス
大事な物：お金
悪い人：盗んだ友達

なわけで、間違いなく罪に問われるのは盗んだ友達ですね。例えば僕は妻には注意はするでしょうが、罪に問うことはできないのではないかと。妻は被害者ですね。

◆「加害者」ロジックの証明

で実はそのお金が町内会のバザーの売上で妻が会計係だった場合。つまりは大事なものに別の利害関係者がいた場合は、妻は町内会の人から責められて当然です。「なんで売上金が家にある時にそんなやつを家に入れたのか。簡単に見つかるような場所に置いておいたのか」と。

盗んだやつも悪いが、盗まれたお前も悪いと。

なんだか露出が激しい服装をしていて痴漢されて「お前が誘ってたんだろ」と言われる哀れな女性のような感じです。悪いことをするやつがいなければそんなこと言われることもなかったのに。居た堪れないですね。

会社側に管理監督の義務はあれど、100%防ぐのは不可能

身も蓋もないような感じですが、僕からするとこれは「事件」ではあるのですが、会社にとっては「事故」であります。

多分、多かれ少なかれ転職者の情報は、日々知られるべきでない人に伝わっていることは間違いないかと。

僕自身、転職活動を2回ほどしたことはありますが、某人材系の会社で面接をしてくれた面接官が、その時在籍していた会社の上司の知り合いで転職活動がバレた事がありましたｗまあそのときは転職しなかったですし、当然辞退しましたけれども。

運送会社のドライバーが配達先の女性に電話番号でLINEのID検索して連絡したとか、そういう事件もありましたしね。救急隊員でもあったな、そう言えば。

結局のところ、個人情報が漏れるか漏れないかは（サーバー攻撃などのシステム的なトラブルは別として）従業員のモラルという極めて曖昧なものに委ねられてしまう、というのが現状だと思います。なので100%防ぐ、というのは極めて難しいと。

抜き出し持ち出し系の個人情報流出は100%従業員のモラルの欠落が原因ですしね。

紹介会社の人が酔っ払って「そう言えばこんな人が登録に来てさー」とか話して盛り上がっていたとして、隣にその人の知り合いいたら気づいたりするでしょ。「あー、あれ絶対俺の知り合いだわーｗ」って。

なので企業側は「漏れないように最善の努力はするけど、もし漏れちゃったらすいません」というスタンスにならざるを得ませんし、万が一で漏洩した際には記者会見を開いて謝罪をしたり、それ相応の対応や賠償をしなくてはならないだけでなく、その後、社会的信頼の失墜もしてしまいます。なんとしたことでしょう。

システムで防げるところは防ぐようにしておくべき。。。だけど。

今回のスタッフサービスは善か悪かという議論のなかで、人材業界の人で「いやいや、1万5000人分ものデータ抜き出せる様になってるシステムが悪いでしょｗ」と思う人もいたでしょう。

確か僕が以前人材ビジネスをやっていたときに利用していた業務システムでは、求職者データをcsvでエクスポートすることは当然できたのですが、権限を持っていない人だと出来ない、とか、1回の操作でエクスポート出来る件数に制限があったり、エクスポートすると管理者に通知がいくとか、そういう仕組みになっていました。これは抜き出し持ち出し系の事故を防ぐためのシステム上の施策ですね。

ですが、例えば上限が100件でも、この人が用意周到に毎日100件ずつ150日かけて、自分の独立のためにコツコツデータを抜き出していたら。。。防げないんですよね。かといってCSVでエクスポートできなかったらそれはそれで業務効率も落ちてしまいますし。

人材ビジネス会社の中には、PCの持ち出しを禁止していたり、業務管理システムは社内のネットワーク以外からはアクセスできない（外出先でテザリングしたり、自宅からのアクセスは不可）にしている会社も多いですが、これまた「働き方改革」系の話が出てくると、その辺ってどうなんだっけと。

また、従業員のモラル形成などの教育活動も不可欠です。やってない会社なんてほぼないのではないでしょうか。

なので業界内で前科者を共有する仕組みをつくったらどうでしょう？

僕なりの結論はこれです。

こういった抜き出し持ち出し系の個人情報流出事件（人材会社にとっては事故）を起こした人を業界内で共有するDB的な仕組みを作ってはいかがなものかと。絶対にこの人は採用しないようにしましょうみたいな。アメリカで性犯罪者のDBがあるとかそういう話を聞いたことがあるような気がします。

これ系の事件を起こしたら、もう人材業界で働けなくなる。そういった抑止力が特にないので、求職者データ抜き出しを行う人が後を絶たないのではないかと。多分スタッフサービス事件は氷山の一角で、年に数件こういった事件は起きていそうな気がします。独立をした際にも「この人抜き出し事故前科者だよー」と企業側に通達すれば取引する会社もなくなるでしょう。

人材協あたりが主導して行えば出来ないことではないと思いますし、業界でこういった事故が発生しづらくなれば良いことづくめなのではないかと思います。抜き出した人以外は。

人材ビジネスは個人情報を扱わざるを得ない業界No.1であることに間違いはないので、何らかのテコ入れをしてこういった事故がなくなっていくことを望みます。

※昨日に比べて今日はGM◯のサーバーは随分調子がいいですｗ

それでは。

Kosuke