セキュリティ会社の要職にある人物が Facebook 上の個人情報を意図的に流出させた問題で、該当人物の勤務先である F-Secure (エフセキュア)が続報を発表した。
発表内容はセキュリティ会社としては非常にお粗末なものであり、また、炎上対策の参考例にもならないレベルのものであった。どの部分に問題があるかを指摘しよう。
まず、炎上した原因を正しく把握できていないことだ。
F-Secure 社は『セキュリティビジネスに携わる者が不適切な SNS 利用があった』と主張しているが、これは “火種” であって、“燃料” ではない。燃料となったのは該当社員がツイッター上でリストを作成した際に、次のことをほのめかしていたからだ。
- 職務上でしか知り得ない情報を使用した
- セキュリティ会社社員としての職務権限を私的利用した
この2点がネット上で炎上する燃料になったのだ。つまり、これらの疑惑に対する明確な説明ができなければ、逆風に晒されたままになるということを意味している。
内部調査を行ったと説明する F-Secure 日本支社による続報は以下の内容である。
- 顧客情報や個人情報が外部に漏洩した事実はない
- F-Secure は Facebook や他の SNS に登録された個人情報を保持していない
- F-Secure 製品が利用顧客の個人情報を収集することはいかなる形態においてもない
- F-Secure は問題のリストを所持しておらず、また内容も確認していない
- 該当社員は依願退職済みである
現地法人が夜逃げするなら、一連のスピーディーな対応は正解だ。だが、セキュリティ会社が日本市場でビジネスを続ける意志があるなら、最悪の対応をしたと言える。
まず (1) だが、セキュリティ会社でなくとも自社が保持する顧客情報や個人情報が流出すれば大スキャンダルだ。「会社からの漏洩はない」と説明しているが、該当人物が職務権限の私的利用をほのめかしているため、結論に至った根拠を示す必要がある。
次に (2) と (3) だが、これは F-Secure の製品/サービス内容に過ぎず、内部調査を経て判明する内容ではない。つまり、続報で記載するには不適切な文言であり、第1報の時点で言及されていなければならないものである。『自社の製品やサービスを宣伝するはずの広報部門が宣伝対象のことをよく理解していません』と言っているに等しい内容となっている。
最後の (4) と (5) は『会社が面倒に巻き込まれるのは勘弁』という姿勢が如実に現れている。“内容の確認をせずに SNS の不適切な利用に対して社内調査を行う” というのは常人には理解不能のことだ。F-Secure は会社として不手際があった際の報告書がこのレベルでクライアントが納得するかを念頭に置かなければならない。
F-Secure 日本支社は続報の中で炎上の原因となった『職務上でしか知り得ない情報の使用』と『職務権限の私的利用』に対して何も答えていない。もし、次のような内容を続報で出していたなら、「セキュリティ企業は対応が違う」とプラスに評価されたのではないだろうか。
該当社員が職務上でしか知り得ない情報は取引先社員との名刺交換等、ビジネス上の接点を通して得られた内容に限られ、その情報についても漏洩は認められておりません。
また、該当社員はマーケティング部門であり、F-Secure 社が運営するセキュリティシステム自体へのアクセス権限を付与されておりません。したがって、インターネット上で指摘されている “職務権限の私的利用” が発生することはあり得ません。
おそらく“双方とも本件に対して他言しないこと” を条件に依願退職の形を採ったのだろう。その見返りとして該当人物の退職金を割り増すことが両者のダメージを最小限にする唯一の方法であるからだ。だが、余波は暫く続くと思われる。
日本スマートフォンセキュリティ協会(JSSEC)が「管轄の警視庁麹町署に本件について当協会より相談を行った」とのお知らせを発表したからだ。セキュリティ業界そのものに不信感を抱かせるような事態を社員が引き起こしたにもかかわらず、“我関せずの姿勢” を貫こうとする現地法人とビジネスを継続しようとする取引先企業も態度を改める必要があるだろう。
F-Secure 社が会社概要内で公表した主要取引先である9社(ソフトバンク コマース&サービス株式会社/ダイワボウ情報システム株式会社/シネックスインフォテック株式会社/株式会社日立システムズ/ユニアデックス株式会社/NEC ネクサソリューションズ株式会社/株式会社 PFU/株式会社 HDE/富士ゼロックス株式会社)には本件に対する F-Secure 社の対応についてコメントして欲しいものである。