取引先も大手コンピュータ関係の会社であったため、データには厳重なロックがかかっており、一般の人はまず、 開いてみることは不可能とのことでした。ただし、技術者等、コンピュータに明るい人が犯人であった場合、 所詮どのようなデータ保護をしても１００％安全ということはありません。 社長はとりあえずは弁償と始末書で帰ってきたわけですが、取引先からは、 「今後、この盗難紛失に伴う損失が発生した場合にはしかるべき措置をとる」と言い渡されてきました。

　それから１年ほど、その社長も落ち着かない日々を過ごしたことはいうまでもありません。
犯人がデータを消去して中古コンピュータとしてネット販売でもしてくれれば一件落着なのですが、いつ、どのような人が取引先に乗り込んでくるか、不安な日々が続いていたわけです。 結果的には今日に至るまで、そのような問題は発生しておらず、もう心配のない状態になったと思われます。

この事件で、顧問先の社長がもっとも危惧したことが２つあります。

1.データ紛失による損害額の予想不可能性

　一つはデータの紛失によってどのような損害が出るか想定できず、また、仮に損害が発生するとしても、 その損害額を見積もることができないということです。前述の通り、そのデータは一般の人には大した興味を引くものではなく、 そうした意味では無価値といえるかもしれません。
　しかし、ライバル会社等が取引先の組織図を手に入れ、販売・営業戦略を読み取るようなことができた場合、これは大変に価値のある情報となります。

損害の実際額が１００万円なのか１０００万円なのか、あるいは１億円、１０億円といった額になるのか、全く想像がつかないわけです。損害額によっては長年、真摯に地道に経営してきた会社が破綻ということにもなりかねません。

2.損害の発生による信用の失墜

　実際に損害が発生した場合、仮に損失額を賠償できたとしても、当然のことながらその取引先との契約が打ち切られることは避けられないでしょう。
　また、犯人が取引先へ買取を要求してきた場合、刑事事件として扱われることになれば損害額そのものは発生しないものの、ニュースとして報道されれば、 取引先の被る社会的信用の失墜は大きなものとなり、結果的には同じことになると想定されます。

また、このような不祥事の原因が同社にあったことがその他の取引先の知るところともなり、良好な関係を持っている取引先からも契約を打ち切られる可能性も大です。
結果として、直接の損害賠償はできたとしても、破綻の危機にさらされることになるでしょう。

　顧問先の社長から、今後このような事故が再発したときに備え、どのような対策があるかとの相談を受けました。 社員への啓蒙、教育はいうまでもありませんが、とりあえず考えられるのは損害保険によるリスク・ヘッジができるかということでした。

　早速、懇意にしている損害保険代理店の社長に相談し、私も同席してプレゼンテーションを受けました。当時、個人情報保護法が施行され、 いくつかの情報漏洩事件やそれに伴う賠償事例も発生し、それなりの保険料の提示も出てきたところでした。
　しかし、どの事例も、個人情報の流出に伴うお詫び料といった損害額の填補であり、情報そのものの価値により発生した損害額を填補するものではありませんでした。 損害保険は損失の実額を填補するものである以上、前述のように損害額を見積もることが困難なものについては保険料の設定は難しく、 仮に見積りを行って保険会社が受けてくれるとしても、保険料はかなりの高額になるであろうとのことでした。いくら損害に備えると行っても、 経営に重大な影響を与えるような保険料を支払い続けるわけにはいかないことはいうまでもありません。

現在ではこのような損失に対する保険商品もあるのかもしれませんが、当時はこのような状況であったため、結局、具体的な対策は打てずに終わってしまいました。

　私も上記のような実体験があったため、他の顧問先にも、実名は伏せながら、積極的にお話しをしてきました。お話しをすると、 一応に「大変な時代になりましたね・・・」という反応が返ってきます。しかし、次に返ってくる言葉は、「うちには漏れて困るような情報はない」ということばです。

　上記のように、情報が漏洩したことによる直接的な損害はないとしても、信用を著しく失墜することにより被るリスクについては、 たとえ中小企業であったとしても、同一に等しく負っているリスクではないでしょうか。

　また、コンプライアンスに対する意識が高い経営者であったとしても、「だからといってどのような対策をしたらよいのか考えつかない」、 あるいは「情報漏洩に多額のコストはかけられない」といった言葉が返ってきます。

　実際、具体的な対策としては、営業マン等にコンピュータそのものを持たせないとか、あるいは、ハードディスクを搭載していないコンピュータを持たせ、その都度、通信によるデータのやりとりで処理する等の対策を講じている企業も多くあります。このような対策はある意味、もっとも有効な対策なのかもしれませんが、事業の効率を著しく低めてしまうことはいうまでもありません。　　　

これまでのお話をとりまとめると、次の通りとなります。

1. 中小企業も情報漏洩等については大きなリスクを負っている
2. 情報漏洩による損害額の見積もりがきわめて困難
3. 情報漏洩による経営破綻の可能性もある
4. 損害保険によるリスク・ヘッジも限界がある
5. 中小企業の経営者もこうしたリスクは理解している
6. リスクは理解していても具体的な対策が思い当たらない
7. 事業効率を低下させるような対策は取りたくない
8. 具体的な対策はあったとしても多大なコストはかけられない
　　　

　上記のような問題点をクリアーできるようなツールがあれば中小企業も導入には前向きな姿勢で臨むことができると思います。 こうしたツールも、１つのツールですべて万全というわけにはいかないかもしれませんが、ハードウエア、ソフトウエアさらには保険といったいくつかのツールの組み合わせで企業自身が自己防衛していく必要があるのではないでしょうか。

田中先生の顧問先企業で実際に起きた事件を例に、情報漏洩における企業の損失や経営者の不安、取引先への信用の失墜等、損失の規模が見えないという 恐怖は、計り知れないものだと思います。企業規模に関わらず、情報漏洩におけるリスクの大きさは同じであり、これらの対策は企業規模や業務内容に 応じて、適切な処置を早期に実施すべきであると痛感しました。 この内容をご覧になった皆様には、これを機会にぜひとも現状の情報漏洩に対する対策について、考える機会を持って頂ければ幸いです。