企業を取り巻くリスクは多様化し、プライバシーやセクシュアルハラスメント(セクハラ)、パワーハラスメント(パワハラ)のような新たな領域に対しても、適切な対応が求められるようになった。後編では、企業がこうした新たな課題に向き合う際、ITソリューションがどのように支援できるのか。引き続き日本マイクロソフト 技術統括室チーフセキュリティオフィサー(CSO)の河野省二氏とMicrosoft 365ビジネス本部 製品マーケティング部 プロダクトマーケティングマネージャーの山本築氏、光雲法律事務所の吉井和明弁護士が語る(文中敬称略)
増えるデジタルでのハラスメント、対策は不可避に
河野 セキュリティは、長らく「自らがコントロールできる要素」を対象にしてきました。そのため、かつてプライバシーはセキュリティの中では扱わないものとされてきました。プライバシーについては、ご本人の意思が優先されるためです。しかし最近は、情報管理の中で個人情報の保護として、プライバシーの課題の一部を扱うようになっています。同様にハラスメントも、当事者の感情に拠る部分もありセキュリティの枠組みでは取り扱いにくいものでしたが、ITで何か対策を支援できないかが1つのテーマになりつつあります。
吉井 セクハラについては男女雇用機会均等法11条で、パワハラについては2019年に成立した改正労働施策総合推進法、いわゆるパワハラ防止法で定義がおかれています。2020年6月に改正労働施策総合推進法が施行されることで、パワハラ防止のための適切な体制、対応が義務化されることになり、企業としても注意を払わなければならなくなっています。
パワハラの定義は、労働施策推進総合法の中で「職場における優越的な関係を背景とした言動であって、業務上必要かつ相当な範囲を超えたものにより、労働者の就業環境が阻害されること」とされています。実際にパワハラかどうかを判断していくには、内心の問題もありますが、客観的な事実に基づいて判断していくことが基本になるでしょう。
ハラスメントに関しては、よく、会社として、ハラスメントを訴えられている人と訴えている人の「どっちを疑うのか」「どっちの味方をするか」といった話になりがちです。その時、感覚的に、長年勤務していた人を信用する、立場が弱い方を助けるというのは、どちらも合理的な判断とはいえません。「どういう命令をしていたのか」を示すメールの内容や、「過剰な労働をしている」と分かる労働時間といった客観的な情報を証拠として、どちらが正しいかを判断する必要があります。その部分でIT技術を有効に使うことができるが使われる可能性があると思います。
河野 後からいろいろ言われる可能性もありますので、やはり記録が残されていないと、難しいことがあります。セクハラやパワハラに関する訴訟での判例は蓄積されているのでしょうか?
吉井 はい。ハラスメントに関する裁判例を集めた書籍も出ています。判断枠組、判断手法も固まってきているように思います。
河野 最近はテレワークが広がり、仕事の中のコミュニケーションもオンライン会議やメールになっています。例えば、メールで脅迫に近いような命令を下すような、デジタルユースのハラスメントもあるのでしょうか?
吉井 デジタルユースのハラスメントという意味では、パワハラよりもセクハラの方が発生しやすいのではないでしょうか。メールで異性を誘ったり、画像を送りつけてきたりするケースがかなりあります。一方でパワハラは、成果をしつこく求めたり、やたらと頻繁に詳細な報告を求めたりするといった、圧迫的なメッセージが来ることがあるかもしれません。
河野 デジタルでのコミュニケーションが増え、イベントの履歴が残るとなると、マイクロソフトにも支援ができる部分があるのかもしれないと思います。
吉井 デジタルの証拠を残さないケースもかなりあると思いますし、データが全てというわけにはいかないと思われます。ただ、それでも、技術でサポートできるところが確実にあるはずです。
コミュニケーションの内容をモニタリングし、規範に反する言動をアラート
山本 マイクロソフトがパワハラやセクハラ防止に有効ではないかと考えているソリューションに、「Insider Risk Management」の「コミュニケーションコンプライアンス」機能があります。Office 365のメールやTeams、Skype for Business、Yammerといったマイクロソフトのコミュニケーションのソリューションに加え、FacebookやTwitterなどのサードパーティーと連携して、企業が持つアカウントのコミュニケーションもモニタリングします。もし、暴言や罵詈雑言、パワハラやセクハラにつながりかねない行動規範に反するコメントがあれば、その兆候を捉えて警告し、次のアクションに移すことができます。
山本 実は、コミュニケーションコンプライアンス機能の日本語対応版のパブリックプレビューを数カ月後に予定しています。まさに開発中ですが、現時点でも、検知すべきキーワードをテンプレートとして用意しており、それを用いて検出や警告ができますが、今後はそうしたテンプレートだけに依存しないよう学習に基づいて検知できるようにしていきます。
吉井自然な日本語を学習していくのですね。
山本 はい。英語については既に機能を提供しており、メールやTeams上の会話の中からパワハラやセクハラにつながりかねない内容を把握し、追跡できるようになっています。内部不正やコンプライアンス違反につながる会話も検知することできます。
既にこうした仕組みがOffice 365の中にあり、E5 Complianceライセンスを契約すれば、すぐに利用できます。また、証拠という意味では、マイクロソフトが提供しているコンプライアンスソリューションにおいて、クラウド上で全てログを収集し、差分の履歴を残しています。クラウドで管理しているからこそ、いつどのような発言があったか、あるいは何を書き換えたかというところまで証拠として必要になる記録が可能です。
河野 そのようなログを別の場所に複製したり改ざんしたりできるのではないかと懸念されるかもしれませんが、マイクロソフトのシステム内で管理していたデータと突合することで、改ざんを防ぐことができると思います。
まだ未成熟なコンプライアンス体制は技術活用で補完すべし
山本 6月に、まず大企業を対象とするパワハラ防止法が施行されましたが、ある記事によると、具体的なパワハラ対応策として、企業の7割は窓口を設置するだけに終わっているそうです。まだまだ未然防止よりも事後対応に意識が向いている可能性がありそうですね。
吉井 実際に何らかの動きをしようとしているだけでも、良い方ではないかと思われます。
河野 コンプライアンスの現状に関しては、セキュリティの世界でいうならば「成熟度レベル1」程度の段階がほとんどなのかもしれませんね。ISMS(情報セキュリティマネジメントシステム)を取得するレベル3のような段階にまでは、まだ到達していないのでしょうか。
吉井 ケースを見ている経験でいうと、一度事故を起こしてしまった方は、ものすごく意識するようにはなります。パワハラやセクハラもそうですが、特に内部不正はひとたび起きると、顧客監督官庁など、いろいろな方面から怒られますから、本当はそうなる前に意識してほしいのですが……。
河野 対応に追われて疲弊していく社員を減らすために、私たちのコンプライアンスソリューションが貢献できればと思います。例えば、情報漏えい事故が起きた時に、経営者が記者会見で追及され、ログが存在しない情報について「調査して報告します」と、うっかり発言してしまうことがあります。そういうケースを実際に見てしまうと、事前にそういう情報を取得する用意をしておいていただきたいと思います。
山本 やはり、人を中心に見ていかないと、本質的な解決にならないでしょう。私たちのコンプライアンスソリューションは、新しいエージェントやシステムを導入することなく、Office 365からエージェントレスで使うことができます。まず試していただき、社内にどのくらい内部不正のリスクがあるか、あるいはパワハラやセクハラにつながる行為があるのかを把握していただきたいと考えています。
吉井 ISMSでも個人情報保護法への対応でもそうですが、セキュリティ対策は組織的、人的、技術的、物的の4つに分類することが多いですよね。もし技術的な対策でうまく解決できる部分が広がれば、ほかの対策がカバーすべき領域が狭くなり、会社の負担が減少するのではないかと思います。
自分たちに合った形で適切な実装を
吉井 もう1つ、コンプライアンスに関して大きな動きがあります。現在(2020年6月時点)、個人情報保護法の改正案が国会で審議されています。情報漏えい事故が発生した際には個人情報保護委員会への報告と本人への通知の一部義務化や、情報の不正取得についての規制や罰金が厳しくなるといった内容も検討されています。まだ罰則が適用された例はありませんが、最近は規制当局も積極的に対応するようになってきています。今後、そうした規制対応という意味でもしっかりと証跡を残すことが必要になるでしょう。
河野 本来こうした法律の目的は罰則を科すことではありませんが、法律の“抜け道”を探ろうとする企業は少なくありません。本当は「法律を正しく守る」ということをどう企業の中に実装していくかが重要ですが、そこがなかなかうまくいきません。
吉井 法律を避けようとすればするほど、規制する側にその穴を塞がれて余計に苦しくなりがちです。場合によっては規制された方が楽なこともあります。 グレーのまま、手探りでどこまでやったらよいかわからず、やりすぎて強力な規制をあとからかけられてビジネスが飛ぶよりは、適度な網をかけてもらった方が動きやすいということですね。
河野 ビジネスにおいて競争ができないほど厳しくなってはいけないと思いますが、競争できる範囲であれば、ルールのある方が競いやすいでしょう。しかし、自主的にルールを決めようとしても、自分たちだけで全て決めることは難しい場合がありますので、外部のケースを参考に自分たちが適応していけるルールを作るには何が大切でしょうか?
吉井 ルールは、人ごと、会社ごとに変わるべきだと思います。ですから、われわれ弁護士がルール作りに携わるにしても、その会社のことを知らないと作れません。最もいけないのは、参考にすべきものをそのまま使ってしまうことです。テーラーメイドのように、自分たちで一つひとつ合ったルールを考えて作り上げるべきでしょう。ただ、やはり参考にするモデルがあると取り組みやすいですから、“松竹梅”のように、求めるレベルに合わせていける幾つかのひな形があるといいかもしれませんね。
河野 ありがとうございます。今ではセキュリティも「企業を成長させていくためのセキュリティ」「生産性を高めるためのセキュリティ」と位置づけられつつありますが、コンプライアンスも同じようになってほしいと考えています。私たちもさまざまな側面からお手伝いしていきたいと思います。
マイクロソフト×吉井弁護士 対談(前編)はこちら >>