兵庫県政をめぐり、パワハラ告発に関連して「元県民局長の私的情報が漏えいした」とされる事案が報じられました。知事らが地方公務員法違反(守秘義務違反)などの疑いで捜査対象となったものの、検察は不起訴としたとされています。報道では、知事・元副知事は「嫌疑不十分」、元総務部長は「起訴猶予」とされています。
本件は政治的な話題に見えますが、実務的には「個人の機微情報を誰がどの経路で扱ったか」を組織が説明できるかが問われる事案です。刑事責任の有無と、組織としての統制不備は切り分けて考える必要があります。明日からの対策としては、漏えいを防ぐことに加え、発生時に事実を確定できる仕組みの整備が焦点になります。
今回の論点は外部からのサイバー攻撃というより、内部者の不適切な取り扱い(意図・過失)と、追跡可能性の不足です。CVEのような脆弱性管理ではなく、アクセス権・ログ・端末/チャネル統制といった内部統制の設計が主戦場になります。特に「私的情報」「通報関連情報」「監察・懲戒情報」は、通常の業務情報より厳しい管理が必要です。
嫌疑不十分になりやすい典型は、口頭伝達、紙の回覧、個人PCのローカル保存、私物スマホでの撮影、個人SNS/メッセンジャーでの共有など、証跡が残りにくい経路です。ここを放置すると、抑止が効かず、発生後も「誰が・いつ・何を・どこに出したか」を特定できません。技術面では最小権限、監査ログ、DLP/印刷・持ち出し統制、MDMやBYOD制御を、規程・教育・処分基準とセットで運用することが重要です。
また、内部通報が絡む事案では情報隔離が必須です。通報受付・調査チームと、現場ラインや通常の人事系統で閲覧できる範囲を分け、通報関連情報の閲覧・複製・持ち出しを手順化します。アクセス付与の根拠、期限、異動時の自動剥奪、定期棚卸しまで含めて運用しないと、形式的なルールに留まります。
不起訴は「無実の確定」ではなく、刑事事件として立証に足る証拠が揃わない、または情状等により起訴を見送る判断です。組織側の観点では、刑事責任が問われない場合でも、懲戒・監督責任・再発防止の必要性が消えるわけではありません。むしろ、証跡が不足して真相究明ができない状態は、統制不備として重大です。
実務で直面するリスクは3つあります。第一に、告発者や関係者の二次被害(萎縮、報復、名誉毀損、プライバシー侵害)です。第二に、「通報しても守られない」という認識が広がり、内部通報制度が機能不全になることです。第三に、原因特定不能が常態化し、同種の漏えいが再発することです。
明日からの点検項目としては、機微情報の定義と区分、保管場所の集中管理(共有フォルダ放置やローカル保存の禁止)、権限の期限付き付与と棚卸し、閲覧・DL・印刷・外部媒体のログ取得、初動手順(端末隔離・ログ保全・ヒアリング)の手順化と訓練が最低ラインです。さらに通報案件は情報隔離と守秘違反時の処分基準の明確化まで落とし込み、運用で担保します。
本件の不起訴報道は、個人の機微情報に関する漏えいが「刑事で白黒を付けにくい」現実を示しています。だからこそ、組織としては人に依存せず、漏えいが起きにくく、起きたら追跡できる統制を整える必要があります。特にパワハラ等の告発対応では、告発者保護の設計不備が組織の信頼失墜に直結します。
情シス・セキュリティ担当者が取るべき方向性は明確です。機微情報の範囲を定義し、最小権限と証跡を基盤に、私物端末・私的チャネルまで含めた運用統制を実装します。併せて、内部通報の情報隔離とインシデント初動を手順化し、定期的に棚卸しと訓練で実効性を担保します。
