オブザーバの柳原です。前回までのコラムでは『リスクと取る』ということについてお話してきました。今回は続いて情報漏えいのリスクを低減させる方策について考えてみたいと思います・・・と、真面目に始めようかと思っていたら、呆れた情報漏えい事件のニュースが飛び込んできました。多くの教訓を含んでいますので、今回はこれを追いかけてみようと思います。

目次

１．ツイッターテロが勃発

２．お詫び文をじっくり読むと

３．インターネットに対する想像力の貧弱さ

４．継続的に警告するしかない

１．ツイッターテロが勃発

　ニュースによれば、恵比寿にあるウェスティンホテル東京を1月11日に利用した有名サッカー選手と女性モデルの名前を、ホテル内レストランのアルバイト店員が、自らのTwitterアカウントで暴露してしまった、というものです。有名人同士のデートを中継しているようなもので、ここなら安心と思っていて晒された人にとってはたまったものではありません。もちろんホテル従業員には守秘義務がありますので、Twitterへのつぶやきはその義務に反した行動になります。
　名前を晒された人は有名なスポーツ選手や芸能人、有名企業の社長や政治家などで、Twitter上のつぶやきはあっという間にRT(ReTweet)され、広く拡散してしまいました。当然のように２ちゃんねるでも大騒ぎになり、アルバイト店員の氏名や写真まで晒される始末です。
　唐突に起こったこの事件は、ツイッターテロと呼ばれるようになりました。現時点では被害者からの告訴は行われていませんが、これからどうなるかは分かりません。ホテル側は客離れが避けられませんから、アルバイト店員に損害賠償を求めるかもしれませんね。
　さっそくホテルのWebには、総支配人からの丁重なお詫び文が掲載されましたので、引用します。
　http://www.westin-tokyo.co.jp/initiative/index.html#140

[総支配人より] お詫びとご報告
お客様各位

平素はウェスティンホテル東京へ格別のご高配を賜り、厚く御礼申し上げます。
このたび、弊社のアルバイト従業員がお客様のレストランご来店情報をブログ等で流出させていたことが、2011年1月12日に判明いたしました。
関係者の皆様及びお客様には多大なご迷惑とご心配をおかけいたしましたこと、深くお詫び申し上げます。

・経緯について
弊社では社員・アルバイトにかかわらず全ての従業員は、入社時にお客様情報の守秘義務等に関する研修を行った上、誓約書への署名をしております。しかしながら、当該従業員は個人のツイッターアカウントより、特定のお客様がホテル内レストランへ来店されたことについて発信していたことが判明いたしました。

・今後の対応について
このたびご迷惑をお掛けした方々には、既にご報告の上、お詫び申し上げております。
また、当該従業員には厳しい処分を下すと共に、全従業員へのお客様情報の守秘義務等に関する教育を再度徹底し、再発防止に全力を挙げて取り組んでまいります。

このたびは、皆様に多大なるご迷惑とご心配をおかけいたしましたこと、改めまして深くお詫び申し上げます。
今回の事態を厳粛に受け止め、今後このようなことが発生しないよう、再発防止に努めると共に、信頼回復に向けて邁進していく所存でございますので、今後ともご愛顧を賜りますようよろしくお願い申し上げます。

総支配人
アンドレアス・トラウトマンスドルフ

２．お詫び文をじっくり読むと

　総支配人による迅速なお詫びそのものは評価できるのですが、気になる点もいくつかあります。まず、うがった見方になるかもしれませんが、このお詫び文によって、今回のTwitterテロの内容そのものが正しいことを半ば確認してしまったことになります。単にTwitterや２ちゃんねるで大騒ぎしているだけであれば、アルバイト店員がデマを流した可能性も捨てきれなかったのですが、ホテルからのお詫び文は、これがデマではないと追認してしまったのでした。

　また、このお詫び文の根底に流れているものとして、「対策は行っていたのでホテル側に問題はない。悪いのはこのアルバイト店員だ」という考え方が見え隠れしており、こちらも非常に気になります。守秘義務に関する教育は過去から行っていた対策であり、このお詫び文では、それを単に徹底するとしか言っていません。これはおかしいと思いませんか？

　もちろん、今回の事件を起こしたアルバイト店員は、自分の起こした守秘義務違反による影響の大きさを思い知ったことでしょうから、二度と繰り返すことは無いかもしれません。同僚も然りです。しかし、アルバイト店員はどんどん入れ替わっていきます。次に雇われた店員が、同じような事件か、もっと悪質な事件を起こさないようにするには、どうしたらよいのでしょうか？単に、今までと同じ教育を繰り返していけばいいのでしょうか？単に教育内容の見直しや時間の増加だけで効果は上がるのでしょうか？かなり疑問です。すなわち、ある程度時間が経過したのちに、こうした事件は繰り返されると予想できます。

　こう考えれば、総支配人によるお詫び文の内容だけでは、事件の再発を真剣に防ごうとしているとはとても思えません。現実には、教育を行っていても今回の事件は起こったわけです。つまり教育だけでは今回の事件を防ぐことはできなかったのですから、繰り返しを防ぐ別の対策が実行されるべきではないかと思います。もし、ホテル側が「教育の徹底」で対策できると考えているのであれば、それは甘すぎる。顧客の精神的ダメージを軽視しているとしか思えません。

　2007年の暮、吉野家のアルバイト店員による「テラ豚丼」動画がニコニコ動画に投稿されてしまった騒動がありましたが、この時も、会社側からのお詫び文では、単に「再度、従業員教育の徹底を行って参ります」というだけでした。なぜこのお詫び文に「別途、再発防止対策を検討のうえ、追ってご報告させていただきます」という文章が入らないのでしょうか。

３．インターネットに対する想像力の貧弱さ

　ウェスティンホテル東京の例でも吉野家の例でも、共通しているのは、情報を流してしまったアルバイト店員の、インターネットに対する想像力の貧弱さです。限られた友人や家族に口頭で伝えることと、インターネット上のメディアに情報を流すことの違いを体得できていない可能性が高いと考えられます。

　2005年頃から流行り始めたプロフやリアルタイム日記に個人情報をさらけ出していた高校生なら、今はもう大学生か、早い人ならもう就職しています。現時点での大学生なら、その多くがプロフやリアルタイム日記の利用経験を持っているでしょうし、今でも熱心に使っているかもしれません。どうせ同年代の友人しか見ていないだろうと、タカを括った書き込みは、SNSやblogでも散見されます。そして、いったんインターネット上に流出してしまった情報は「消せない」という当たり前の事を、頭では分かっていても「みんなやってるんだから」というだけの理由で、プライベートな情報も晒してしまいます。そこには、少年・少女にありがちな「悪ぶって見せる」ものも多く含まれます。10代の頃はそうだった、と同意される方も多いと思います。

　私の想像では、ウェスティンホテル東京や吉野家で問題を起こしたアルバイト社員は、有名人を目の前で見てはしゃぎ過ぎたり、悪ふざけの度が過ぎたのだと思います。そして後先の事を考える余裕もなく、インターネットに情報を流してしまったのでしょう。

　実は、インターネットと検索エンジンが普及していなかった15年前なら、こうした悪ふざけはあまり大きな問題にはなりませんでした。周囲のごくわずかな人しか気付かなかったからです。ところが現在は、検索エンジンによって「悪ぶって見せた」情報は探しだされ、本名や学校なども簡単に探索されてしまいます。

　こうした現状を、すべての人が現代の常識として理解してくれるのが理想ですが、それは不可能でしょう。では、アルバイトや社員を雇う企業側としては、手をこまねいているしかないのでしょうか？

４．継続的に警告するしかない

　情報漏洩の原因がハードウェアやソフトウェアにある場合、原因が正確にわかれば、それなりの対策を打つことができます。ところが、漏洩元が人間であった場合、対策は容易ではありません。どうしても、先の例で述べたように「教育の徹底」といった効果の測りがたい対策に終わりがちです。このままでは、必ず同じようなトラブルが繰り返されてしまいます。ではどうすればいいのでしょうか。

　相手が人間である以上、確実な仕組みとしての対策はあり得ないと考えられます。しかし、人間は「記憶し、忘れる」生き物ですから、これを利用するのが得策ではないでしょうか。通常、アルバイトでも社員でも、雇用を始めた最初に必要な研修を行います。当然、これは必要なのですが、問題はこの後です。

　例えば、すべてのアルバイトや社員に対してメールアドレスを登録してもらう。定期的に彼ら専用のWebを通じて情報漏洩事件の実例を紹介し、その当事者達がどのような状況に陥ったのかを知ってもらう。もちろん、Webを通じてアンケートにも答えてもらう。そして、各地で起こっている情報漏洩事件については、全員が他社を上回る知識を持っている、と自負できる状況を作る、といった環境を構築することです。当然のことながら、雇用する前に、こうしたシステムがあることを承知してもらうことが必要です。

　現在では、少なくとも日本国内で、携帯電話やスマートフォンでメールやWebにアクセス出来ない人を従業員として雇用するのは、あり得ないでしょう。それならば、こうしたシステムを使用することをアルバイトや入社の条件にすることは、さほど無理があるとは思えません。

　必要なことは研修や教育を、従業員を雇用した直後だけで終わらせるのではなく、継続的に実施することでしょう。月並みではありますが、こうした地道なアクションが、情報漏洩を防ぎ、市民社会からの信頼を継続することに繋がると考えています。