転職の手土産に｢社内情報を抜く｣社員の危うさ 不正の証拠収集は｢共通アカウント｣では難しい

あまり長期間保存すると、コストパフォーマンスが落ちるのは確かです。目安としては、税金関係書類の保存期間（国税関係帳簿は原則として7年間の保存が義務付けられている）です。また万が一、査察いわゆる「マルサ」を受けた場合に調査される資料は原則5年分ですから、経理や会計の不正をチェックするなら意識したいところです。

その他、リスクが高い部分のセキュリティを強化するのも有効です。「お金になる」ことが知られている顧客情報（名簿）や、特許などの知的財産周りには、まずは内部で「セキュリティ監査」を行うことをおすすめします。1年に1部門ずつ実施して、まずは5～6年で1周程度のペースで考えてください。

その監査結果はみなで共有して、セキュリティ意識を組織全体で高めていくのがよいと思います。効果が上がってくれば第三者による外部監査に切り替え、ISMSやPマークなどの認証につなげていくことで、対外的にちゃんと対策していることをアピールできるようにもなりますよね。

異変を報告した社員は｢怒らずに褒める｣

――全社的に取り組む姿勢が伝わると、社員の意識も変わりそうです。

こうした取り組みを増やすと、社内外に「うちの会社はセキュリティにかなり気をつけている」と周知されます。

情報処理推進機構の「組織における内部不正防止ガイドライン」では、内部不正防止の基本5原則を挙げていますが、「不正の機会を与えない」「出来心を起こさせない」ことは、不正の抑止と社員の保護につながります。

――社内風土の醸成も、組織全体のサイバーリテラシーを向上させるうえで重要なのですね。

社員から「やらかしてしまったかもしれない」と報告されたとき、怒るのは厳禁です。むしろ褒めてあげてください。そうでないと、社員を守るためのセキュリティ体制とは言えません。

実際、パソコンが明らかに不審な挙動をしているのに本人は何も言わず、情報システム部門のアクセス監視でウイルス検知に至った例はいくつもあります。

インシデントの早期発見は非常に重要です。不始末で火事を起こしても、ボヤのうちに通報すれば大事になりません。パソコンに表示される怪しい「〇〇サポートセンター」に連絡してしまう前に、いち早く自分の会社に報告できるような風土を作ってほしいです。

もはやデジタル環境がなければ、仕事ができない時代です。デジタル・フォレンジックがしやすい環境があれば、万が一の際の調査・分析のコストも下げられますので、情報が追跡しにくくなっていないか、また社員一人ひとりが異変を報告しやすい体制かどうか、今一度見直すとよいのではないでしょうか。

高橋秀和：ライター