セキュリティの
学び場

今回の解説ニュース

大手電力会社に対して、業務改善命令が出されたということです。今回の行政処分が行われた背景と、各社が勧告を受けるにあたって、セキュリティの観点から改善すべきポイントについて説明します。

電力・ガス取引監視等委員会では、一般送配電事業者による非公開情報の漏えい事案について、経済産業大臣に対し、大手電力会社に電気事業法に基づく業務改善命令を行うよう、3月31日付けで勧告を行っていました。

経済産業省では勧告を受け、4月3日付けで行政手続法の規定に基づき、命令の対象となる各事業者に対し書面で通知を実施しました。各社からの弁明等を踏まえた上で業務改善命令を行う必要があると判断し、4月12日付けで電気事業法の規定に基づき、電力・ガス取引監視等委員会への意見の聴取を行た上で、業務改善命令を発出したということです。

「できる」と「やっていい」は違うということ、性善説と性悪説

様々な不祥事があったようですが、その中でも非公開情報の漏洩事案は、大手電力会社の従業員が関連会社のシステムを通じて、競合他社の顧客情報を不正に閲覧し、営業活動に利用していたことが問題視されています。これらの行為は、国が行った電力自由化を阻害するものとして、行政処分に至ったことが考えられます。

ただ、情報管理体制に不備があったことなども指摘されていますが、システムに脆弱性があったわけではないようです。

顧客情報にアクセスできるからと言って、何にでも使っていい、ということにはなりません。当然ですが「できる」と「やっていい」は違うということになります。

今回の事案についても、関連会社の立場を悪用して、競合他社の顧客情報を不正に閲覧し、営業活動に利用したもので、システムの技術的な問題というより、従業員の倫理的な問題ということができます。

内部犯行を防ぐための対策として、性悪説に基づいた対策が必要です。

例えば、「Aさんはいい人だ」という前提で対策をすると、Aさんの善意に頼る形で運用の負荷は軽くなりますが、セキュリティ対策としては緩くなりがちです。このような考え方を性善説と言います。一方で、「Aさんでも魔が差すことがあるよね」という前提で対策をすると、セキュリティは強固になりますが、あらゆる状況を想定しなければならないために、運用の負荷は重くなります。このような考え方を性悪説と言います。

必ずしも性悪説がいいとは限りません。理由として、すべてのセキュリティ対策を性悪説で進めてしまうと、従業員の業務効率が過度に低下することも考えられます。ただし、今回のような事案が生じると性悪説で対策せざるを得ません。誰も幸せになれない状況です。

一方で、今回の事案に注目してみると、営業職の従業員が競合他社の顧客情報を閲覧したいと思ってしまうことは、人間の弱さからくる「性弱説」とも言うことができます。よって、弱い人間が悪に手を染めないようにするための制限は、いたずらに業務効率を下げるだけの存在ではなくて、大切な従業員を守るための優しいセキュリティ対策と言えるかもしれません。