銀行出身の筆者におけるコンサルティングの7~8割は金融関係となっている。別の業種業態の仕事もしているが、業務やシステムに精通している金融からの依頼が圧倒的に多く、知り尽くしたつもりでいた。しかし、仕事の中では「井の中の蛙」状態だったと気づくことが幾つかある。その1つが「メール」の考え方である。
昨年、ある依頼で金融機関が業務で使うメールアドレスを個人ごと配布しているか(例:hagiwara@xxx-bank.co.jp)、組織やプロジェクト単位で利用しているか(例:システム部の組織アドレスならsystem-bu@yyy-bank.co.jp)を調査した。
対象は筆者が今まで何らかの関係があった76の金融機関なので、偏っている可能性はあるものの、個人アドレスを使っている割合はメガバンクで100%、地銀・第二地銀で64%、信金・信組・JAほかで40%だった。
筆者は、独立以前から多数の方々と異業種交流を行い、情報セキュリティなどの学会でのサポートや銀行員として様々なITベンチャー企業の状況についても作業をしてきた経験もあった。当時、企業としてメールのドメインを持っていない事例は幾つかあったものの、従業員が個人アドレスを持っていない企業はまず無かった。正直にいえば、「従業員なら個人アドレスを持っていて当たり前」と思っていた節が当時は確かにあった。
ところが独立してみると、個人アドレスを持たない金融機関が意外にも多いことに驚いた。一部の金融機関は組織アドレスのみを公開し、実際は個人アドレスも配布しているという変則的なケースもあった。実際にコンサルティングの検討をしている金融機関へのプレゼンテーションで、このメールアドレスにおける筆者の考え方が心理的な壁になってしまったこともある。
●組織アドレスでは不都合な事実
「なぜ組織アドレスを使うのか」というより、これによって実際に筆者が経験した不都合なケースを紹介したい。
ケース1:人事部(jinjibu@aaa-bank.co.jp)とのやり取り
人事部とコンサルタント料金について交渉をする場面があった。担当者は多忙で電話がつながらず、仕方なくメールでのやり取りになったが、人事部の従業員なら誰もがその内容を閲覧できる状態だった。これはちょっと恥ずかしい交渉になっていた。ある新人行員が筆者とやり取りしている担当者に、「外部で状況も知らない人(筆者)にこんな高額を支払うのは納得がいかない」と言ったそうである。筆者が提示した金額はベンダーやコンサルタント会社の水準よりもはるかに安価だと思えるものだったが、(相場は銀行員時代に知っている)先方内部でのやり取りがきっかけで結局この案件は流れてしまった。
ケース2:システム部(systembu@bbb-bank.co.jp)とのやり取り
システム部とのやり取りの最中、システム部が送信した「営業店の無理解で斬新なシステムを提案できない」という報告書や批判のメールが飛び交ってしまった。しかも、システム部の一人が「これは先輩(営業店に配属されていた元上司)を馬鹿にしている」と思い込み、内容を営業店に転送してしまったのである。添付ファイルは一応パスワードで保護されていたものの、そのパスワードを記したメールも転送されてしまい、状況が丸見えになってしまった。その結果、システム部と営業店との関係がギクシャクしてしまい、この関係を修復するのに1年を要してしまった。
実際のケースはこれらだけには留まらない。ビジネスチャンスを失うという金融機関としては残念な事実も出てきており、筆者は組織のメールアドレスで業務をするという体制についてあまり良い評価をしていない。
●なぜ「組織アドレス主義」に?
それでは、金融機関がなぜ組織のメールアドレスを優先するようになったのかについて記してみたい。
ある時、地銀や信金の友人たちとの飲み会でこの点を聞いてみたところ、筆者の予想通りの回答だった。つまりは「内部不正の防止」のためである。10年前はこういう環境の金融機関が今以上に多数存在していたらしい。
組織名のアドレスにすることで、その組織の従業員全員(金融機関によっては役席者だけ読むことができるという)が内容を閲覧できる。これによって、例えば顧客に「こういう高金利の商品があります。お得意様限定なので早いもの勝ちです」という様なメールの送受信(行員による投機商品の購入なども含まれる)ができなくなるということだ。
一般の人の中には、金融機関というだけでWebサイトやインターネット周辺のセキュリティ対策がすばらしいものになっていると誤解があるかもしれない。しかし、実際はそうではないところも多く、内部不正対策の最も簡単な方法として、昔は組織のメールアドレスが使われていた。だが、現在ではそういう人間系の防御は「精神論」としては極めて大事であるものの、こういう方法には“スマートさ”がないし、確認漏れや人的ミスが生じやすい。しかも、今ではもっと簡単で確実に実施できるツールが山とある。しかも組織アドレスだけでは、デメリットが少なくない。それに気がついていない金融機関が多いのは残念である。
その昔、金融機関は旧大蔵省が存在していた頃から「護送船団方式」で都市銀行も零細の金融機関も守られてきた。その昔ながらの考え方で「何も変化させない」ことが最も「コストパフォーマンスのいい企業経営」と思われていた節もあったのだろう。それはそれで否定をするつもりはないが、現代のドラスティックに変化する金融業界においては、「このままでいいのだろうか?」という疑問を常に持ってほしいし、少しでも合わないと感じるならドンドン変化をさせるべきではないかと思う。
組織としてはもっと行員を信じてもいいだろう。その一方で悪さをするごく一部の内部犯罪者や外部からの攻撃に対して、システム的にその兆候を察知して確実に除去する様にすべきではないだろうか。「べき論」となってしまいがちだが、もし、こういう基本から改善したいと思われる金融機関があれば、ぜひ筆者にお問い合わせいただきたい(ここの1行は宣伝です・笑)。
金融機関にとって、今回お伝えした内容以外にも改善すべき項目がそれぞれの環境で多々あっても何ら不思議ではない。つまり、一概に組織アドレスで業務を遂行している状況だからといって、ピンポイントでそこだけを非難してはいけない。経営側としては熟慮した結果として、リソースである「人・物・金」全体をうまく配分させた結果かもしれず、安直な批判は避けるべきである。
●萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
