研修の獲得目標

研修で、受講生に何を獲得してもらうべきか。これが研修の獲得目標である。実際には、外部の研修講師に依頼することになるが、以下の各点について、留意をしてもらえるよう、依頼をするべきである。また、これらの点は、外部の講師に依頼せず内部で研修を実施する、あるいは、注意点を周知するなどの場合にも有益であるので活用されたい。(1) よくある落とし穴を解説する筆者の経験上、情報漏えいや炎上の大部分は、本書の第2章で触れたようなよくある落とし穴にはまったせいである。たとえば、ファイルのプロパティや、PDFの墨塗りによる情報漏えいなどは、定期的に事故が起きている。これらのミスは、全く同じである。全く同じであるのに繰り返されるということは、まだまだ、これらの落とし穴について知らないまま業務を行っている者が多くいる、ということである。もちろん、冒頭で述べたように、これらの落とし穴をすべて網羅することはできない。しかし、毎回、いろいろな会社等で同じ落とし穴にはまるという事故が相次いでいるのである。したがって、これらの落とし穴を前もって埋めておくことには、それなりに意味があるといえよう。逆にいうと、こんなに頻出の落とし穴であるにもかかわらず、この類型のミスをすると、「ろくに教育をしていない会社」という烙印を押されかねない。大部分が同じような落とし穴にはまる以上、少なくとも、この点に触れてさえおけば、落とし穴にはまる回数は相当減る。したがって、「落とし穴について、全部網羅はできないけれども、頻出のものだけでも押さえておく」ことは、重要である。(2) 「個人の責任問題」であることを理解してもらうほぼすべての原因は人間にある。そして、それは人が能力不足であった、あるいは、攻撃者（情報を盗み取ろうとする者など）より劣っていたなど、そのような優劣の問題ではない。大部分は、能力うんぬんではなくて、単に、必要な注意を、それも容易に守れるような注意を怠ったにすぎない。業務用のメーリングリストについて、第三者が閲覧できるようになっていたというのであれば、最初の設定に誤りがあったということである。PDFの墨塗りミスであれば、墨塗りのつもりで墨塗りの機能ではない「黒い四角」を描画する機能を使ったことが原因である。電子メールの誤送信であれば、送信前に宛先を確認しておかなかったことが原因である。インターネットやSNSトラブルの特徴は、一般従業員が端末を操作する限りにおいては、個人の責任に帰着する点にある。大規模なシステムの管理や運用であれば、複数名が協力していることも多く、そうなると、個人の責任に帰着しないこともあり、プロ・専門家の団体責任になる余地はあるものの、逆にいうと、一般の利用者によるトラブルは個人責任の問題になるということである。(3) たびたび事件になっていることを改めて確認する本書に限らず、インターネットやSNSトラブルについて解説した書籍は多数ある。企業向けのものもあれば、一般市民向けのもの、あるいは弁護士向けに法的手段について解説したものもある。本書で繰り返し触れてきたとおり、ネット犯罪者が侵入する、データを盗む、破壊するというケースがないわけではないが、非常に稀である。実際にほとんどを占めるのは、(2)で述べたような一般個人の単純ミスである。データの流出等のトラブルは、ほとんどが従業員個人のミスに起因するにもかかわらず、それらは自分には関係がないと思っている者がほとんどである。このような事故・事件は定期的に発生している。読者の方々も、そのようなニュースを目にすることは少なくないだろう。したがって、このような事故の一覧を見せて、「頻繁に発生しており、自分もいつ当事者になるのかわからない」ということを意識づけることが重要である。(4) 社内で処分の対象になることを意識してもらう第2章で就業規則の整備について触れたが、基本的に、不適切なネットの利用によりデータを流出・破損させ、あるいは企業の信用を低下させた場合には、それは懲戒処分の対象になる。やはり人間というものは、自分の利益に関わらないと真剣になることはできない。また、業務上の命令で一定の防止策を定めており、かつ、それに違反した場合も処分の対象と認識してもらえれば、より効果的である。たとえば、アドレス帳に登録した宛先以外にメールを送ってはいけない、USBメモリに暗号化していない社内資料を格納してはいけない、安易に情報漏えい等の被害に結びつかないが、その危険をもたらすルール違反を処分の対象にする、などである。情報漏えいといえば、メールの誤送信やUSBメモリの紛失が代表例であるが、それがはじめてのメール誤送信やUSBメモリの持ち出しであったということは基本的にない。これまでに、メールの不注意な送信（アドレスを引用しないなど）やUSBメモリに社内データを格納して持ち出すことなどを繰り返しており、繰り返しでいく中で、たまたま事故につながるケースがあり、その結果、漏えいが生じてしまうということである。多くの場合、漏えいなどの事故を起こせば問題になるとは思っていても、データの持ち出しなど、普段の不注意については、実際に事故にならないと問題にならない、ルールにないという者が非常に多い。したがって、事故に至らない防止のためのルール違反も、懲戒処分の対象になることを、従業員に認識してもらうことが重要である。(5) 社外から責任を追及されることを理解してもらう筆者は、ネットトラブルの予防の他、労働安全衛生など、安全確保のための講演を会社向けに行っている。最近ではコロナ禍の影響もあり、収録やビデオ通話などを利用しての講演が増えたが、それ以前は、会場に集まって話を聞いてもらうという形式をとっていた。そのため、話すテーマ、トピックごとの受講者の反応を直に見ることができるが、ネットトラブル予防に限らず、このような事故防止の話は、特に自分自身の安全に関わらない（逆に、たとえば、工事現場における安全の問題であれば、本人の不注意はただちに自分の負傷や時には死亡にすらつながるのであるから、ある程度真剣になる）ので、あまり集中して聞いてもらえないこともある。(4)でも指摘したが、誰であっても、自分の利害に直接に関わらないと、どうしても、興味関心が湧きにくいものである。しかし、ネットトラブルを含む、企業の従業員の不法行為（違法に他人の権利利益を侵害する行為）においては、従業員は、直接社外に対して責任を負担することになる。通常、従業員としては、自分が業務上のミスで、顧客をはじめとする社外の者に損害を与えてしまった場合、会社に迷惑をかけたということで会社から責任追及されるということは、想像できる。しかし、法律上は、業務上、従業員が社外の者に損害を与えた場合には、会社だけではなく、従業員個人も被害者に対して直接責任を負担することになる（民法709条・715条1項）。民法709条故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う。民法715条1項ある事業のために他人を使用する者は、被用者がその事業の執行について第三者に加えた損害を賠償する責任を負う。ただし、使用者が被用者の選任及びその事業の監督について相当の注意をしたとき、又は相当の注意をしても損害が生ずべきであったときは、この限りでない。要するに、原則は、従業員が個人責任を負う（民法709条）が、勤務先も連帯責任を負う（同法715条1項）ということになっている。つまり、従業員個人の責任こそが、法律上は原則である（なお、両者の負担割合は事情により算定されることになる）。したがって、情報漏えいなどで取引先や顧客に損害を与えた場合、話し合いによる解決ができなければ、会社だけでなく、従業員も個人的に訴えられるということになる。裁判で敗訴して賠償請求を受けるという立場になることは、金銭面だけではなく、精神面においても、非常な負担である。また、通常は勤務先を担当する弁護士と同じ弁護士が従業員を担当することになるだろうが、勤務先と自分との責任分担について疑義がある場合、つまり、両者の利害が相反する可能性がある場合には、従業員は自ら弁護士を探して、自らの費用で弁護士に依頼をしなければならない可能性もある。要するに、繰り返しになるが、企業の業務上の事故であっても、法律上は、従業員の個人責任が原則であることになる。筆者の経験上も、このような「社員の責任だけではなく、社外からも責任を、それも直接法廷で問われる可能性がある」という話は、非常に興味関心をそそって聞いてもらえる。社内だけではなく、社外との問題にもなるということ、会社への責任ではなく、社外の被害者への責任も生じるということなので、従業員個人が直接責任を問われないように、会社の問題ではなく自分自身の問題として認識をしてもらうためにも、ぜひ、受講者に提示するべき視点である。(6) 終わった後も終わらないことを伝えるネットトラブルは、終わった後も終わらない。情報流出であれば、流出が終わったとしても、一度流出した情報を完全にインターネットから消し去ることは現実的に不可能である。したがって、情報流出は、情報流出という事件が終わった後も、その被害は発生し続けるということである。「注意一秒、怪我一生」という言葉があるが、まさに、情報流出においても同じことがいえる。そして、単なる情報流出よりも従業員個人にとって深刻なのが、不適切な情報発信により炎上してしまったケース、しかも担当者の氏名がわかっているケースである。非難を集めれば集めるほど、その不祥事は、あたかも俳句の季語のように定期的に用いられ、決してその事件は忘れられることなくくすぶり続けることになる。非常に有名なケースであり、ご存じの方も多いだろうが、ある著名メーカーの採用担当者が、大規模災害で、各所で通信や交通が途絶している状況下で、就職希望者の応募の締切を非常に短く設定し、また、不遜な物言いをしたため炎上したという事案があった。そして、自ら、「A社のXです」と名乗っていたところ、酷いことをしたXということで、ネット上で有名人となってしまった。今でも、毎年のその災害があった日になると、ネット上には「A社のX」という語で繰り返し言及され、おそらくは、A社のみならずX個人にも損害が出ていることが危惧される程度である。A社としてもこれを深刻視しており、そのためか毎年その日には、企業の公式SNSアカウントでの発信を差し控えるほどである。その日に発信をすると、多数のコメントが付されて、さらに事件の情報が広がってしまうため、それを避けるための配慮であると思われる。企業のみならず、従業員個人にも損失が生じることがあるということは、それは終わらない、つまりその企業を退職しても続くこと、など深刻な印象づけることは、研修の内容を確実に実践させる上で、重要である。(7) 具体的な防止策〜面倒でないことが大事具体的な防止策については、第2章で詳しく解説した。このような心がけ、対処を妨げるように、研修では指導をするということになる。もっとも、第2章でも指摘したとおり、人間、誰しも面倒なことは継続しない。したがって、研修においても「面倒臭がってはいけない」「これだけでもやってほしい」というように、極力ごく簡単な方法で済ませるように工夫するべきである。工夫の方法であるが、「少し面倒なことについては、責任者・担当者を決めて、その人にやらせる」ということがある。慣れれば、事故を防止できることは、難しい対策も継続できるからである。具体的にたとえば、第2章のクラウド活用の件について、「共有設定をした場合は、設定後、クラウドのプライベートモードで確認する」という対策を紹介した。クラウドサービスごとに操作方法は異なるし、操作を誤ることもある。たとえば、Aファイルを共有しようとしてBファイルだけを共有してしまった、とか、その逆の操作。(共有されていない)Aファイルが外部から閲覧できないので、改めて、Aファイルを共有したという場合、Bファイルは共有されたままなので、情報漏えいなどの事故の原因になりかねない。メールアドレスを入力して、アドレスを間違えることと比べて難しいクラウドサービスなどの操作については、限られた担当者に操作を委ねることも効果的である。操作を繰り返して慣れればミスは少なくなるからである。この例では、外部共有をする場合には、担当者Xに依頼するように、などといったルールを作成しておくとよいだろう。実際に、筆者が案件として取り扱うものも、適切な安全策が用意されておらず、従業員への周知も行われていたが、遵守されておらず、トラブルにつながってしまったという例が散見される。共通するのは、従業員が特に怠けているということではなく、とにかくその対策が面倒であって、忙しいのにやっていられない、仕事が遅れるからルールを守るかの二択なので、守れないのもやむを得ない、というものであることが多かった。