People Business Online に寄稿しました。下記URLから、ご覧ください。

https://x.gd/sr2RR

2020年4月から2023年10月末まで、三菱UFJ銀行の東京2支店で盗難事件が発生した。4年以上にわたって約60の貸金庫にアクセスするためにスペアキーを使用し、影響を受けたと思われる60人の顧客のうち約20人からの確認された盗難は3億円(約200万ドル)に達したという。

三菱UFJ銀行では、2005年にも貸金庫窃盗事案が起きています。貸金庫の管理は「貸金庫へのアクセス(出入り)を管理する」しかないのですから、管理が極めて杜撰だったという一言に尽きると言って良いでしょう。

通常、銀行は、貸金庫そのものの安全性やセキュリティ、すなわち不正アクセスの防止、火災や盗難などからの保護の責任を負いますが、貸金庫内の内容物の管理や損失、損傷についての責任は、利用する顧客の責任になります。そもそも内容物は使用者のプライバシー保護等の理由で確認しないのが普通で、もちろん保険のオプション等はありますが、内容物の管理については使用者自らが記録を残しておくことが基本になります。

したがって、貸金庫へのアクセス(出入り)だけを厳格に管理することが、銀行の役割であり責任だということになります。

そういう性格の資産なので、貸金庫で何らかの事故があったとしても、被害者は被害を届け難いのではないかという憶測が犯罪者の心理に働いたかもしれません。

この貸金庫の管理を含み、秘密の文書や物件の取扱いの原則的な要領は、どこでもほぼ同じ考え方でなされていると考えてよいでしょう。技術や環境の変化に応じて、アナログ的に記録されるか、デジタルで記録されるか、生体認証や映像で記録されるか、物理的な手段によるか、電磁的な手段によるかは異なりますが、どのようなセキュリティ・システムも考え方に変わりはありません。

通常、次のような手順で施設へのアクセスを管理します。

  • 使用者が施設に立ち入ることを管理者に連絡する。
  • 使用者が管理者の立会者の下に施設内に立ち入る。
  • 所用を済ませる。
  • 使用者が管理者の立会者の下に施設を退出する。
  • 施設へのアクセスに加え、貸金庫の鍵の使用のチェックも当然あります。
  • これらの一切の行動記録を残す。

この記録が合規適正に管理されていることを複数の人間で、定期的にチェックします。定期点検には、日々点検、週末点検、月末点検、期末点検、年度末点検、検査のための点検等があり、管理者の交代に伴う点検、臨時の不定期点検が行われます。

こういったことを当たり前にように繰り返して、セキュリティの組織文化は培われていきます。4年も不正が発覚しなかったというのは、この間、点検、検査がなされていなかったということですから、それだけですべての仕事がいい加減に流されている組織文化なのだと言われても仕方ないでしょう。

その管理のいい加減さが如実に表れるのが「予備鍵」の管理の考え方です。予備鍵は、何のために予備鍵を備えておくのかを明らかにしておかなくてはいけません。

「本鍵が使用できなくなる」ということがセキュリティ上、何を意味するのか。通常予備鍵を使用することはありませんから、上級管理者、または指揮系統上にない別の管理者が管理することになります。万が一予備鍵を使用しなければならなくなった場合は、本鍵のセキュリティに問題が生じることになりますから、施設の鍵全部を交換しなければなりません。

つまりセキュリティを考慮した場合、管理者に予備鍵を管理させること自体に重大なセキュリティ上の疑義が生じてきます。

 組織内部で問題が起きるたびに、「内部統制の欠如」だとか「監査・監視体制の不備」だとかいう言葉が氾濫しますが、目の前の仕事が合規適正に実行されているか、その実行が記録されているか否か、複数の目で重層的にチェックされているか否か、最終報告されているか否か、という「当たり前のことを当たり前にやっているか否か」だけが重要で、小さな不具合が発見されていれば大きな不正が働く余地はありません。

 もし、日常の業務が適正に実行されていないのであれば、考えられる原因は明らかです。

  • 目的に適っていない業務をしている(無駄がある)。
  • 業務要領や業務量が職員の能力や業務の実態と適合していない(無理が生じている)。
  • 不正がある。

 その業務を担当実施する人の能力と業務要領がマッチしているか否かの問題点を発見し、修正していくのが管理者の重要な役割になります。

不祥事が起こるたびに「不正防止」が問題になりますが、管理者は業務遂行上の不可抗力として起こり得る人為ミス(誤り)を防ぎ、業務上の効率性を高めるために、管理指導するのであって、その結果として業務の透明性が高まり、不正が入り込む余地がなくなり、業務の効率性や生産性が上がるのです。

もし管理者が不正防止のために部下や業務を管理しなければならないような組織であるならば、そのこと自体が根源的な問題だと心得るべきでしょう。

時間(その3)~「時」を管理するマネジメント~(6.4.9)
隕石・小惑星の地球衝突~痕跡、影響、情報と対処(6.3.29)