情シスに必要なのは「ゴシップ耐性」？ 必要なリテラシーを法令と倫理から考える

情シスはIT管理者であるため、権限を乱用すれば従業員の個人情報などにリーチしやすいポジションです。情シスが身に付けるべきリテラシーについて整理します。

[久松 剛，エンジニアリングマネージメント]

情シス百物語

「IT百物語蒐集家」としてITかいわいについてnoteを更新する久松氏が、情シス部長を2社で担当した経験を基に、情シスに関する由無し事を言語化します。

　「ITリテラシーの向上」が話題になると、従業員のITツールに対する理解度や、セキュリティを含めた情報の取り扱い教育ということを想像されると思います。

　また、情シス自身のITリテラシーとしては、IT機器に関する情報や、技術の理解、設計や構築、運用手法などの話題は枚挙に暇がありません。その一方で、あまり話題になりにくいのが、IT管理者として守るべき法令順守や倫理の話です。情シスは権限を乱用すればさまざまな情報にリーチできるため、リテラシーは必須です。

　今回は過去の情シスのトラブルや、私の経験も含めて幾つかの事例を振り返ります。あまり語られることがない、情シスが身に付けるべきリテラシーについて整理していきます。

法令順守の観点から情シスの業務を考える

　まずは法令順守についてです。情シスが技術的には可能であっても、実行してしまうと法律に触れてしまう行動があります。

ファイルの持ち逃げ

　十数年以上前、ある企業で実際にあった問題です。その企業では情シスは「PCに詳しい人が任命される」という風潮があったのですが、情シスへの風当たりが強すぎるせいで毎年のように担当者が辞めるという事象がありました。

　その際、耐えかねた情シス担当者がファイルサーバからリリース前のデータを持ち出し、ライバル会社に持ち込むという事件が起きました。被害にあった企業はよほど後ろめたいことがあったようで、訴訟には至りませんでした。ただ、被害額は億に届いたとのことです。

　腹に据えかねることがあったとしても、犯罪行為は論外です。

ネットワークモニタリングの結果としてアクセス先URLを展示

　「Python」のユーザーが集まる「PyCon APAC 2023」の会場で提供されたFree Wi-Fiを利用した際、DNS名前解決された結果がリアルタイムモニターとしてWebで公開され炎上に発展しました。

　通信の秘密や有線電気通信法、電波法違反の懸念がある一方で、DNSクエリは秘匿情報ではないとの声もありました。イベント2日目からは「ネットワーク利用によって取得される統計情報は、研究および展示のために利用します」と掲載されましたが、その具体性や同意について適切かどうかが議論の対象となりました。

　私も大学時代はインターネットインフラの研究室に居たこともあり、日常的にパケットダンプを実施していました。新人が研究室のネットワークでパケットダンプをし、好奇心から接続者に対して「あなたの通信は分かっている」と話しかけるのを諫めたことが何度かあります。

　「技術的に可能だからやった」という無邪気な動機と、それを公開してしまうことの境目については、識者によるさまざまな角度からの判断と助言が必要です。

ドラマ「逃げ恥」におけるインフラエンジニアとしての発言

　サーバなどを管理している場合はサーバの稼働維持の責務があります。

　大ヒットした国民的ドラマ『逃げるは恥だが役に立つ』で次のようなやり取りがありました。会社の経営危機を聞きつけたインフラエンジニアである沼田さんが、会社の状況を聞き出す際に「サーバ全部落とす」と脅して情報を聞き出すシーンがありました。また、社長がリストラを検討していることを伝えると沼田さんは「今すぐサーバ破壊するぞ、この社長さま」と発言します。

　このシーンは世間にインフラエンジニアの存在を知らしめつつ、社長に対してすごむ胸のすくシーンとして「X」（旧Twitter）で名言のように扱われています。

　しかし、これはサービスを安定稼働させるという責務を放棄した企業脅迫であり、おおよそ褒められる言動ではありません。実際に実行すれば企業から訴えられる可能性があります。

情シスに倫理が求められる場面

　次に倫理的な観点です。倫理は道徳やモラルなどを指し、良心に任せらがちです。出来心でアクセスしてしまった情報や、職務で触れた情報、他人に漏らしたくなってしまう情報を取り扱う際、倫理が求められます。取り扱い方によっては違法になることもあります。

個人の電子メール、チャットの履歴

　かつて電子メールのサーバがPOP（Post Office Protocol）だった時代、サーバ管理者であれば各人メールボックスを覗き見ることは容易でした。「Google Workspaces」や「Microsoft 365」が一般的になった今でも、監査機能のある上位プランであれば、従業員の電子メールにアクセス可能です。チャットも同様で、資産管理システムで電子メールをモニタリングしていれば、アクセスができます。

　LINEなど個人でのメッセージングサービスが一般的になった現在は減ったように感じられますが、以前は社内のチャットや電子メールを使った社内恋愛などが見られたことがあり、ヘルプデスクでPCを見に行くと、業務用ツールの確認という名目と従業員プライバシーの狭間の、見たくないものが見えてしまう状況が多々ありました。

　情報を知ることで問題になるリスクがあるのがインサイダー情報です。厳しく情報統制している企業であれば、同じ企業であっても別事業の情報を得ることはインサイダーの観点から禁止されています。情シスは情報機器を扱うため事業部を横断して情報にアクセスできますが、知らないほうが身のためという情報は多く存在します。

社内からの情報共有リクエスト・調査依頼

　事業上の機微な情報や従業員のプライバシーといったゴシップ要素の強い情報に対し、「見ないようにする」「自身の中に留めておく」というのがここまでのお話でした。

　一方で、社内の不正調査を目的とした情報共有をリクエストされるのが情シスです。私も情報の持ち出しや不正会計、不祥事のもみ消しなどの調査を依頼されたことがあります。

　知りたくない情報に対して過度に触れないようにする必要がある一方で、こうした依頼を想定して調査方法などに精通しておく必要があります。資産管理システムの利用方法や有事の際のアラート設定、クラウドサービスやSaaSの監査機能だけでなく、「Windows OS」や「iOS」のPCのログを調査する方法なども理解しておくことをお勧めします。

情シスに必要な倫理の正体

　多くの情シスには、スキルを習得できる資格試験や本などは数あれど、倫理を身に付ける機会は少ないため、倫理に沿って行動するかどうかは各人の良心に任されているように感じます。

　情シスはサーバやネットワークの管理者であるため、権限を乱用すれば従業員の個人情報などにはリーチしやすいポジションです。もちろんこのような行為は職権乱用なわけで許されるものではありません。

　似たような事象が人事界隈でも話題になりました。採用候補者が「履歴書から住所を検索し、家賃からライフスタイルを想像してしまう」とXに投稿し、炎上しました。そこでは「人事に必要なのはゴシップ耐性だ」という話題が出ていました。

　情シスも同様で、管轄している情報へのアクセスが技術的には可能である一方、それを実行に移すかどうかという倫理もまた、突き詰めていくとゴシップ耐性のことかも知れません。

著者プロフィール：久松 剛（エンジニアリングマネージメント　社長）

　エンジニアリングマネージメントの社長兼「流しのEM」。博士（政策・メディア）。慶應義塾大学で大学教員を目指した後、ワーキングプアを経て、ネットマーケティングで情シス部長を担当し上場を経験。その後レバレジーズで開発部長やレバテックの技術顧問を担当後、LIGでフィリピン・ベトナム開発拠点EMやPjM、エンジニア採用・組織改善コンサルなどを行う。

　2022年にエンジニアリングマネージメントを設立し、スタートアップやベンチャー、老舗製造業でITエンジニア採用や研修、評価給与制度作成、ブランディングといった組織改善コンサルの他、セミナーなども開催する。

Twitter : @makaibito