ISMS認証の棺
- 山崎行政書士事務所
- 5月13日
- 読了時間: 18分
認証マークは、白い。
清潔で、整っていて、疑う余地のない顔をしている。
受付の壁に貼られたそれを見た客は、安心する。取引先は納得する。役所の入札担当者は書類を通す。経営者は胸を張る。
「当社は情報セキュリティに真摯に取り組んでおります」
だが山崎は知っている。
白い紙は、死体を包むのにも使える。
その会社から依頼が来たのは、秋の終わりだった。
社名は、株式会社ネクスウェル・データソリューションズ。
医療機関、介護施設、自治体向けに予約管理や顧客管理のクラウドシステムを提供している中堅IT企業だった。草薙駅から少し離れたオフィスビルの七階に入っている。入口には観葉植物が並び、受付には笑顔の社員の写真が貼られていた。
その横に、大きな文字がある。
人に寄り添うデータ活用。
山崎行政書士事務所が依頼されたのは、ISMS認証取得に向けた文書整備の支援だった。
情報資産台帳。
リスク評価表。
アクセス権限一覧。
委託先管理表。
教育記録。
インシデント報告フロー。
言葉だけを並べると、整った仕事に見える。
だが、情報セキュリティの書類は、きれいに作ろうと思えばいくらでもきれいに作れる。
危ないのは、きれいすぎる書類だった。
最初の打ち合わせで、ネクスウェルの代表取締役、狩野はこう言った。
「認証は、来期の大型案件に必須なんです」
狩野は四十代後半。高級そうなスーツを着て、声は柔らかく、歯は白かった。壁際には、経営理念のポスターが貼られている。
信頼を、仕組みに。
狩野はそのポスターの前で笑った。
「もちろん、セキュリティは大切です。ただ、審査まで時間がない。実態を踏まえつつ、効率よく整えていただきたい」
効率よく。
山崎は、その言葉を聞くたびに、胸の奥に小さな棘を感じる。
効率よく、という言葉は、ときに「余計なものを見るな」という意味になる。
隣に座っていた情報システム部長の鴨井は、ほとんど喋らなかった。痩せた男で、眼鏡の奥の目が赤い。髪は乱れ、爪は短く噛まれていた。
一方、総務部長の浜谷は、資料を整然と並べながら言った。
「既に情報資産台帳の雛形は作っています。あとは先生のところで体裁を整えていただければ」
体裁。
まただ。
山崎は資料を受け取った。
台帳は、見事に整っていた。
顧客管理システム。
営業支援システム。
人事給与システム。
会計システム。
社内ファイルサーバ。
メール。
クラウドストレージ。
情報資産の所有者、管理部署、機密性、完全性、可用性、リスク、対策。
項目は揃っている。
だが、揃いすぎていた。
現場の汗がない。
例外がない。
汚れがない。
「従業員への聞き取りも行います」
山崎が言うと、狩野の笑顔がほんの少し硬くなった。
「必要ですか」
「台帳と実態が合っているか確認するためです」
「現場は忙しいので、最小限でお願いします」
鴨井が、そこで初めて口を開いた。
「聞いたほうがいいです」
声は低かった。
狩野が横目で鴨井を見た。
鴨井はその視線に気づかないふりをして続けた。
「台帳に載っていないものがあります」
会議室の空気が、少し沈んだ。
浜谷が咳払いした。
「それは、細かい業務ファイルの話でしょう。全部載せていたらきりがありません」
鴨井は黙った。
だが、その沈黙は肯定ではなかった。
山崎は、台帳の表紙を閉じた。
「では、確認します」
ネクスウェルのオフィスは、表面上は明るかった。
フリーアドレスの机。
ガラス張りの会議室。
カフェスペース。
壁には「心理的安全性」「挑戦」「顧客第一」の文字。
社員たちはノートPCを開き、チャット通知の音に追われながら働いている。誰も怒鳴っていない。誰も机を叩いていない。
それなのに、空気は息苦しかった。
人間が大切にされている会社ではなく、人間が大切にされているように見せることに慣れた会社の匂いがした。
最初の聞き取り相手は、営業部の若手社員、坂下だった。
坂下は会議室に入るなり、ドアの外を確認した。
「これ、誰に共有されますか」
「目的は情報資産の把握です。個人を責めるためではありません」
山崎が言うと、坂下は笑った。
「会社って、いつもそう言いますよね」
その言葉には、若さよりも疲労があった。
山崎は聞き取りを始めた。
業務で使っているデータ。
保存場所。
アクセス権。
外部送信。
顧客情報の取り扱い。
最初、坂下は台帳に沿った話だけをしていた。
だが十分ほど経つと、声が小さくなった。
「実は、営業部だけの顧客リストがあります」
「台帳には載っていません」
「載せてないです。載せるなって言われました」
「誰に」
坂下は答えなかった。
代わりに、スマートフォンを出して画面を見せた。
クラウドストレージのフォルダ。
名前は「営業資料_旧」。
中には、Excelファイルが大量にあった。
顧客リスト最新版。
顧客リスト最新版_最終。
顧客リスト最新版_最終2。
医療法人見込み客。
自治体担当者個人携帯。
介護施設決裁者メモ。
山崎は、画面を見ただけで胃が重くなった。
「これは、誰がアクセスできますか」
「営業部全員です。あと、退職した先輩も、たぶんまだ」
「退職者?」
「アカウント、残ってます。引き継ぎが終わってないって言って、そのまま」
坂下は笑った。
「三年前に辞めた人ですけど」
山崎はペンを止めた。
退職者アカウント。
台帳にない顧客リスト。
外部クラウド。
この三つが並ぶだけで、紙の上の認証は棺の蓋に見えてくる。
中で腐っているものを閉じ込めるための、白く滑らかな蓋。
次の聞き取りで、もっと深いものが出た。
カスタマーサポート部の女性社員、宮園は、最初から泣きそうな顔をしていた。
「言っても、意味ないと思います」
「それでも、聞かせてください」
宮園は両手を膝の上で握った。
「去年、問い合わせ対応用の端末から、顧客情報が外に出ました」
山崎は静かに聞いた。
「事故報告は?」
「ありません」
「なぜ」
「上が、事故ではないと言いました」
宮園の声が震えた。
「派遣社員の人が、退職前に顧客データを自分のメールに送ったんです。施設名、担当者名、電話番号、利用者ID、一部の相談内容。私はログを見つけて、鴨井部長に言いました。鴨井部長は報告書を作りました。でも、経営会議で止まりました」
「止まった?」
「顧客に通知すると、大型契約が飛ぶからって」
山崎は、喉の奥に苦いものを感じた。
情報漏えいは、数字の事故に見える。
何件。
何名。
何レコード。
だが、その中身は人間だ。
病院に通っている人。
介護を受けている家族。
施設に預けた親。
病名。
相談内容。
生活の弱さ。
それが外に流れる。
名前が流れなくても、断片だけで人は特定されることがある。
「その派遣社員は?」
宮園は顔を伏せた。
「会社は、本人都合退職扱いにしました」
「顧客には?」
「知らせていません」
「監督官庁や関係先には?」
「分かりません。たぶん、どこにも」
宮園の目から涙が落ちた。
「その後、ある介護施設の担当者から電話が来たんです。変な営業電話が増えたって。うちから漏れたんじゃないかって。私は、確認しますとしか言えなかった」
彼女は声を殺して泣いた。
「確認しますって、何も確認してないのに」
山崎は何も言えなかった。
会社は沈黙を選ぶ。
顧客は違和感を持つ。
現場の社員は嘘をつかされる。
漏えいした情報は、どこかで誰かの商材になる。
そして会社は、翌年、ISMS認証を取りに行く。
信頼を、仕組みに。
その言葉が、腐った水に浮かぶ白い花のように見えた。
聞き取りが進むほど、台帳の外にあるものが増えた。
開発部には、検証用と称した本番データのコピーがあった。
一部は匿名化されていない。
退職したエンジニアのアカウントは、外部リポジトリに残っていた。
営業部には、個人LINEで顧客とやり取りしている社員がいた。
サポート部には、パスワードを付箋に書いてモニター裏に貼っている端末があった。
総務部には、過去の従業員のマイナンバー関連資料が、鍵のない棚に保管されていた。
そして、どの部署も同じことを言った。
「前からこうです」
「忙しくて」
「上も知っています」
「台帳に載せると、管理対象になるので」
管理対象になる。
それが、もっとも生々しい言葉だった。
台帳に載ると、責任が生まれる。
責任が生まれると、点検が必要になる。
点検が必要になると、時間がかかる。
時間がかかると、売上に響く。
だから載せない。
存在しないことにする。
情報資産台帳とは、本来、守るべきものを見えるようにする紙だ。
だがネクスウェルでは、守りたくないものを隠すために使われていた。
載っているものだけを守っているふりをする。
載っていないものは、最初から存在しなかったことにする。
それは台帳ではない。
棺だった。
真実を埋めるための。
山崎は、鴨井と二人で話す機会を作った。
夜の会議室だった。
オフィスの明かりは半分落ちている。窓の外には、草薙の街の小さな光が点々と浮かんでいた。
鴨井は、紙コップのコーヒーを両手で持っていた。
「先生、全部書くつもりですか」
「事実は記録します」
「それを出したら、認証は厳しくなります」
「分かっています」
鴨井は笑った。
疲れた笑いだった。
「経営陣は、認証さえ取れればいいと思っています」
「鴨井さんは?」
「私は……」
彼は言葉を詰まらせた。
しばらくして、ポケットから折りたたまれた紙を出した。
「去年の漏えい事故の報告書です」
紙はしわだらけだった。
何度も開き、何度も閉じた跡がある。
「これを、経営会議に出しました。狩野社長は言いました。『確証がないなら事故ではない』と。浜谷部長は言いました。『派遣社員の個人的行為で、会社として公表する段階ではない』と。営業本部長は言いました。『今出したら入札資格に影響する』と」
鴨井は笑みを消した。
「私は、そこで引きました」
「なぜですか」
「家のローンがあります。子どもが受験です。私が騒いでも、会社は変わらない。変わらない会社のために、自分の生活を壊す勇気がなかった」
山崎は黙った。
責めるのは簡単だった。
だが、現実はいつも卑怯なほど生活に結びついている。
正しいことを言うには、生活を失う覚悟がいる。
その覚悟を個人に要求しながら、組織は平然と「倫理」を語る。
鴨井は、報告書を机に置いた。
「私は、情報セキュリティ部長です。でも、守れなかった。情報も、人も」
「人?」
鴨井は目を伏せた。
「派遣社員を管理していたのは、宮園さんです。彼女は事故を止められなかったと責められました。正式な処分ではありません。でも、評価が下がった。異動も断られた。今もサポート部で顧客に謝っています。会社が知らせていない事故の、知らされていない相手に」
その言葉が、山崎の胸を刺した。
紙の上だけのセキュリティが、人の人生を壊していた。
顧客だけではない。
現場の社員も壊している。
事故を見つけた者が、事故のように扱われる。
報告した者が、面倒を起こした者になる。
嘘をつかされた者が、自分を責める。
情報は見えない。
だから、被害も見えない。
見えない被害は、組織の都合で簡単に消される。
審査前夜。
ネクスウェルの会議室には、山崎、鴨井、浜谷、狩野、みお、ちぎりが集まっていた。
机の上には、二種類の文書が置かれている。
一つは、認証審査用に整えた文書。
情報資産台帳は見やすく、リスク評価表は分類され、対策もきれいに並んでいる。
そこには、台帳外の顧客リストも、退職者アカウントも、去年の漏えい事故も、ほとんど載っていない。
もう一つは、山崎たちが聞き取りで作成した実態記録。
未登録情報資産一覧。
退職者アカウント一覧。
未報告インシデント記録。
クラウド利用実態。
アクセス権限不備。
部門別リスク。
顧客影響の可能性。
再発防止に必要な措置。
分厚さが違った。
重さも違った。
前者は、軽い。
後者は、重い。
真実が入っている紙は、いつも重い。
狩野は、認証用文書に手を置いた。
「明日は、こちらで進めます」
山崎は黙っていた。
狩野は続けた。
「もちろん、先生方が調べた内容は重要です。ですが、それは内部改善資料として扱うべきものです。審査の場に出す必要はありません」
みおが静かに言った。
「必要がない、ではなく、出したくないのでは?」
浜谷の顔が険しくなった。
「言葉には気をつけてください。外部の支援者にすぎない立場で」
ちぎりが、実態記録のファイルを開いた。
「情報資産台帳に載っていない顧客データがあります。リスク評価にも反映されていません。退職者アカウントも残っています。過去の事故も記録されていません。この状態で、台帳が整備済みとは言えません」
狩野は笑みを保ったまま言った。
「完璧な会社などありません」
「完璧の話ではありません」
山崎は言った。
「存在を知っているリスクを、文書から外すかどうかの話です」
会議室の空気が冷えた。
狩野の笑みが消えた。
「山崎先生、現実を見てください」
「見ています」
「認証が取れなければ、大型案件を失う。売上が落ちる。社員の雇用にも影響する。理想論だけでは会社は守れません」
「嘘の文書で取った認証は、会社を守りますか」
「嘘ではない。範囲の問題です」
「都合の悪いものを範囲外にするのは、範囲管理ではありません」
浜谷が口を挟んだ。
「先生、我々は書類作成を依頼したんです。内部告発を依頼したわけではない」
「私は告発者ではありません」
山崎は静かに答えた。
「ただ、虚偽に近い文書を整えることはできません」
狩野は椅子にもたれた。
「では、契約違反ですか」
「契約書より重いものがあります」
山崎は、実態記録のファイルを見た。
宮園の涙。
坂下の怯えた顔。
鴨井のしわだらけの報告書。
顧客データの断片。
退職者アカウント。
存在しないことにされた事故。
「人の人生です」
狩野は、鼻で笑った。
「大げさですね。情報漏えいと言っても、誰かが死んだわけではない」
その瞬間、会議室から音が消えた。
山崎は、狩野を見た。
「死ななければ、壊れていないんですか」
狩野は答えなかった。
「医療機関の情報が流れる。介護施設の相談内容が流れる。担当者の個人携帯が流れる。誰かの病気、家族、金銭、生活の弱みが、知らない人間の手に渡る。それを使って営業される。詐欺に使われる。脅しに使われる。疑心暗鬼になる。眠れなくなる。仕事を失う人もいる」
山崎の声は低かった。
「死んでいないから、軽いんですか」
狩野の顔が赤くなった。
「感情論です」
「いいえ」
山崎は言った。
「あなた方の認証用文書こそ、感情論です。『取れなければ困る』『信用を失いたくない』『顧客に知られたくない』。その恐怖を、リスク評価表の外に置いているだけです」
鴨井が、ゆっくりと実態記録のファイルに手を伸ばした。
浜谷が鋭く言った。
「鴨井さん」
鴨井の手が止まる。
会議室の全員が、彼を見た。
鴨井はしばらく固まっていた。
家のローン。
子どもの受験。
役職。
評価。
生活。
それらが、彼の肩に見えない手を置いていた。
だが彼は、やがてファイルを自分の前に引き寄せた。
「私は、これを出すべきだと思います」
声は震えていた。
だが、言った。
「去年、私は引きました。事故報告を止められたとき、戦わなかった。その結果、宮園さんに嘘をつかせた。顧客にも知らせなかった。退職者アカウントも、台帳外データも、全部、後回しにした」
浜谷が睨んだ。
「今さら正義面ですか」
鴨井は頷いた。
「はい。今さらです」
その言葉は、みっともなかった。
だが、みっともない本音には力がある。
「今さらでも、これ以上は無理です。認証のために文書を作るなら、私は署名できません」
狩野は立ち上がった。
「分かりました。では、あなたは本件から外れてください」
鴨井の顔が強張った。
だが、座ったまま逃げなかった。
山崎は、狩野に言った。
「私どもも、認証用文書だけを整えることはできません。実態記録を前提に、是正計画としてまとめ直すなら支援します」
「審査は明日です」
「なら、明日説明してください。今の状態と、是正方針を」
狩野は笑った。
「そんなことをしたら、認証は取れない」
山崎は答えた。
「取れない認証なら、取らないほうがましです」
それは、きれいごとだったかもしれない。
認証が取れなければ、仕事を失う人がいる。
売上が落ちるかもしれない。
会社が傾くかもしれない。
現実は、正論だけで救えない。
だが、嘘で取った認証の下で働き続ける人間もまた、救われない。
白い棺の中で、生きたまま腐っていくだけだ。
翌日の審査は、予定通り始まった。
ただし、提出された文書は変わっていた。
山崎たちは、深夜まで作業した。
認証のための文書ではなく、真実を記録する文書へ。
情報資産台帳には、台帳外だった顧客リストが追加された。
退職者アカウントは、一覧化された。
未報告インシデントは、経緯と影響範囲、未対応事項を記録した。
リスク評価表には、現実の運用不備が載った。
是正計画には、期限、責任者、優先順位が入った。
顧客通知の要否検討、外部専門家への相談、ログ調査、アカウント棚卸し、クラウド利用ルール、教育、再発防止。
完璧な文書ではなかった。
むしろ、汚かった。
赤字が多く、未確定事項も多く、弱点が丸見えだった。
だが、初めて生きた会社の文書になっていた。
審査員は、長い時間をかけて資料を読んだ。
会議室には、張りつめた沈黙が流れた。
狩野は不機嫌な顔で黙っていた。
浜谷は目を合わせない。
鴨井は、背筋を伸ばして座っていた。
宮園も、途中から呼ばれた。
彼女は、去年の事故について話した。
声は震えていたが、逃げなかった。
「私は、顧客に確認しますと言いました。でも、会社として何も確認していませんでした」
彼女は涙を拭いた。
「それが、ずっと苦しかったです」
審査員は、淡々とメモを取った。
そこに劇的な拍手はない。
感動的な救済もない。
現実の手続は、いつも冷たい。
だが、その冷たさの中に、初めて事実が置かれた。
夕方、審査は終わった。
結果は、当然ながら厳しいものだった。
認証取得は先送りとなった。
重大な是正事項が示された。
経営陣の関与、情報資産の特定、アクセス管理、インシデント対応、教育、委託先管理。
狩野は会議室を出るとき、山崎に言った。
「あなた方のおかげで、案件を失うかもしれません」
山崎は答えた。
「私たちのせいではありません」
「きれいごとだ」
「そうかもしれません」
山崎は、まっすぐ狩野を見た。
「でも、顧客のデータを隠して、事故を隠して、社員に嘘をつかせた会社が、信頼を名乗るほうがよほど汚い」
狩野は何も言わなかった。
その後、ネクスウェルでは大きな混乱が起きた。
大型案件は一時停止になった。
顧客への説明が必要になった。
一部の取引先は怒り、契約を見直した。
社内では、狩野に近い管理職たちが山崎事務所と鴨井を責めた。
「あのまま黙っていれば取れた」
「なぜ今さら掘り返した」
「正義感で会社を潰す気か」
鴨井は役職を外された。
宮園は一時休職した。
坂下は退職を考えた。
誰もすぐには救われなかった。
真実を記録しても、現実は急に温かくならない。
むしろ、最初は寒くなる。
嘘という毛布を剥がした後には、冷たい風が吹く。
だが数か月後、少しずつ変化が出た。
退職者アカウントは停止された。
クラウドストレージの棚卸しが始まった。
部門ごとの隠しファイルが洗い出された。
インシデント対応手順が作り直された。
宮園は、顧客説明の場に同席した。
謝罪文を読み上げるだけではなく、自分が感じていた違和感も話したという。
ある介護施設の担当者は、怒った後で、こう言ったらしい。
「最初から言ってくれれば、対策できたのに」
その言葉は、ネクスウェルの誰よりも宮園に刺さった。
隠すことは、守ることではない。
隠すことは、相手から備える時間を奪うことだ。
半年後、山崎事務所に鴨井が訪れた。
痩せてはいたが、以前より目が澄んでいた。
「会社、辞めました」
山崎は少し驚いた。
「そうですか」
「別の会社で、情シスをやります。小さい会社です。年収は下がりました」
鴨井は苦笑した。
「でも、今度は最初から台帳をちゃんと作ります」
「最初から?」
「はい。棺にしないように」
山崎は、少しだけ笑った。
鴨井は鞄から一枚のコピーを出した。
それは、去年の漏えい事故報告書だった。
しわだらけだった紙が、新しい様式で作り直されている。
発生日。
発見者。
影響範囲。
初動対応。
未対応事項。
再発防止。
顧客説明。
作成者欄には、鴨井の名前。
確認者欄には、宮園の名前があった。
「宮園さん、復職しました。今はインシデント対応の教育担当をしています」
山崎は、書類を見つめた。
紙は冷たい。
だが、その紙には誰かを黙らせるためではなく、誰かが二度と同じ嘘を背負わないための重さがあった。
「認証は?」
「まだです」
鴨井は言った。
「でも、次は取りに行けると思います。認証のためじゃなくて、ちゃんと守るために」
夕方、山崎はキャビネットに一冊のファイルを入れた。
表紙には、こう書いた。
ネクスウェル・データソリューションズ ISMS文書整備支援資料。
その下に、小さく題名を書き足した。
ISMS認証の棺。
みおがそれを見て、眉をひそめた。
「怖い題名ですね」
ちぎりが静かに言った。
「でも、あの文書、本当に棺でした。載っていない情報が、中で腐っていました」
山崎はファイルを閉じた。
「棺は、死者を納めるものです」
そして、少し間を置いて言った。
「生きている会社が入るものではありません」
外では、草薙の街に夜が降りていた。
ビルの窓が一つずつ光り、どこかの会社ではまだ誰かが資料を作っている。審査のため。監査のため。入札のため。取引先に見せるため。
紙の上では、どんな会社も美しくなれる。
ルールはある。
台帳はある。
教育記録はある。
リスク評価もある。
承認印もある。
だが、その紙の外で、退職者のアカウントが生きている。
顧客データが誰にも知られずコピーされている。
現場の社員が嘘を飲み込んでいる。
漏えいを知った担当者が、一人で夜中に吐いている。
認証は、信頼の証になり得る。
だが、真実を埋めるために使われた瞬間、それは棺になる。
白く、清潔で、冷たい棺。
山崎は窓の外を見た。
社会は、マークを信じたがる。
文書を信じたがる。
審査済みという言葉を信じたがる。
なぜなら、中身を見るのは怖いからだ。
中身には、人間の弱さがある。
保身がある。
隠蔽がある。
泣いている社員がいる。
被害を知らされない顧客がいる。
それでも、誰かが蓋を開けなければならない。
臭いがしても。
腐っていても。
自分の手が汚れても。
山崎は机の上のペンを取った。
次の相談票には、こう書かれていた。
「社内規程を整備したい。監査対応のため」
山崎は、静かに息を吐いた。
また、紙の仕事だ。
だが紙は、嘘を包むためだけにあるのではない。
真実を残すためにもある。
そして、ときには。
棺の蓋を、こじ開けるためにも。
コメント