社内の破損HDDを個人的興味で持ち帰った上司

社内で個人管理しておりますPCのHDDが破損し詳しく事務の方にHDDを換装して頂きました。
その後、破損HDDより作成途中のデータ取り出しを試みようと借りられるかを伺った所、上司(部長)が目的不明だが持ち帰った事を聞きました。
後日、部長に確認したところ、データ取り出してみようと思ってとの返答でした。
会社所有のHDDになるので、社内にて廃棄処分等は理解できるのですが、興味本位でしかも本人他誰の断りもなく持ち帰る事はビジネスマンとしての倫理に反した行動と思い、更に上の上司、取締役になるのですが報告すべきか迷っています。
問題の部長は虚偽発言の目立つ、信頼の全く出来ない人物です。
いずれ淘汰される人物なのですが、今回のことは私としては本当に気持ち悪いと感じでいます。
アドバイスを頂ければと思います。

No.4 回答者： hue2011 回答日時： 2014/12/08 10:21

いろんな会社があります。

セキュリティ対策なんて叫んでいながらPCにマカフィーをいれているだけなんていうところは割合ありますよ。

あなたの会社が、ISMSとかISO27000ということを会社案内やらに印刷していれば、この話はシンプルです。
誰であろうとデータが入っている媒体を外に持ち出すことが禁止されているはずですから。
上司が無断で持ち出したというなら懲戒処分にできます。
PマークだとかISO15000の場合は、個人データに関連するものの取り扱いで懲戒が可能です。

しかしながら、掛け声だけの会社はそうはいかないのです。
社内ルールがなければ、懲戒なり諭旨なりにする根拠資料がありません。
悪気はないし、別に事故もおきていないし、ということで、以後注意しようや、で収まります。

USBメモリだとかSDカードなんていうものは何ほどのものでもないと思う人間が、ITのプロでもいます。

以前あるメーカーに講習会の講師として出かける人間が持ち込む資料やデバイス媒体の全リストを提出してくれといわれたことがあります。
ISMSですね。当然です。持ち込むものに全部番号を振ってそのシールを貼り、リストを作って提出しました。

このとき、この講師役は、その中にないUSBメモリを何本か軽く持ち込むつもりでいたらしく、社のUSBをいくつかつまんでいこうとしました。
叱咤したら逆切れをおこしました。
こんな程度のもんになぜケチをつけるんだという、サラリーマン金太郎が正論を叫び出すような話でした。

なぜプロに言う必要があるかとうんざりしながら説得した記憶があります。

まあ、相手にあるルールだからそれに従え、というところで結局落ち着かせました。
言うことは一応ききましたが、最後まで納得はしないようでしたね。

まず、会社にISMSということがあるかどうかを確認しましょう。
ISMSという言葉はなくてもISO27000です、あとはPマークとかISO15000の話があれば話は簡単です。
上司の上の人間にチクればいいだけです。それが正義です。

もしなければ、なぜ人の気持ちを組んでやらないんだというようなナニワブシにされる危険があります。
それを覚悟してやってください。

この回答への補足

個人情報保護に関する規約を言うものをサイト上で掲示しておりますが、ISMSに値しますか？
「もしなければ、なぜ人の気持ちを組んでやらないんだというようなナニワブシにされる危険があります。」
そうなんです。そもそも彼自身が虚偽発言を繰り返す稚拙な人間性で問題視されつつはあるのですが、社長会長が低俗コンサルタント会社からうまく口車に乗せられ抜擢し引き抜いて来た経緯があり、彼を引き下げるような訴えは社長・会長の捉え方により社長・会長の責任を追求することになりかねないという実情があります。既に口がたっただけで能力はないことは明らかになっているのですが、私が彼の後始末をさせられてきた経緯があり、訴えも多くしてきました。今回に関しても報告するのが正当であることは理解しておりますが、報告すると小うるさい人物だと自分の評価も下げる危険性があり、踏みきれずにおります。

補足日時：2014/12/08 13:39

No.3 回答者： AR159 回答日時： 2014/12/08 10:20

その部長は、

まず会社の資産を無断で社外に持ち出したので窃盗または横領の可能性があります。また様々な情報が内蔵されたHDDの持ち出しなので、情報管理やコンプライアンス面からも規定違反の恐れがあります。
さらに、ひょっとしたら修理可能であったものを素人考えでいじって完全に壊したという事なら、会社の資産に損害を与えたことにもなります。

ということで、法令やルールに違反した極めて軽率な行為といえます。

あなたが取締役にこの事実を報告するかどうかはあなた次第ですが、
ただせっかく報告したとしてもその取締役が事の重要性を認識していないと、部長はお咎めなしであなたは密告者の烙印を押されるかも知れないという事も覚悟しておきましょう。

この回答への補足

皆様がおっしゃっているように、まっとうな会社であれば即刻重大時案として報告するのが普通であると思うのですが、報告先の上司は最近pdfデータを知った、デジカメとタブレットの区別がつかないという人達なのです。なので、報告をしても小さな事で大騒ぎして・・・で終わってしまう可能性があります。しかし当社は在宅医療の会社ですので、個人情報の巣窟です。部長の責任を問う事を要求するのではなく何をしたか、何をしようとしたかの追求を要請し、今後の対策を明確に決める必要性を含め報告をしようかと考えております。

補足日時：2014/12/08 12:13

No.2 ベストアンサー 回答者： parts 回答日時： 2014/12/08 09:11

これは、中小だと比較的よくあることでしょうけど。

社内の内規はありますか？ないのなら、長く働く社員ならそういうケースもあるでしょう。昔はよかったという具合で・・・。

質問者様は、上司が悪いと思われていますが、そもそも交換者がそれをそのまま上司に渡すのが、異常なのですよ。それは、普通のコンプライアンス体制なら、交換者はそれは出来ないと断ります。どうしても必要なデータなら、抽出は依頼書を記載の元で別の業者に依頼します。
個人情報管理者（コンプライアンス責任者が兼任することが多い）が、それを作っていないなら、早めに作らなければ、不味いですし、処分の方法も報告すべきか迷ってはいけません。
職務として履行する必要があります。

まず、社内で個人情報を扱うことがある事業者であったり、カード情報なども管理することがあるなら、ハードディスク交換をする時の担当者は、必ずそのディスクの内容を封印するか、または規定の手順に従い部署に持ち帰り、適正な業者に抽出を依頼するのが妥当です。

それが漏れた場合は、交換をした人間や交換を指示した人間も含めて、場合によっては相応の確認を行います。持ち帰った人間や漏洩の危険を把握しながら容認した人はもちろん処分の対象です。

何故一人ではなく、複数がそうなるか？
基本的に、法令遵守（コンプライアンス）では、なれ合ってはダメですが、連携して守る意思を疎通させることが大事だからです。だから、その担当者がやる役割として職責を最後まで全うしたかどうかで判断しなければなりません。ディスクを交換するという作業は、個人情報の漏洩に繋がる重大な作業です。そのため、交換者は、その職務を行う場合、自分が最後まで責任を持って交換し、所定の処分方法または所定の業者に依頼しデータの抽出を依頼するまでが仕事です。（自分が抽出依頼をする担当ではないなら、その抽出を依頼できる人にお願いして引き継ぐまでが仕事です）

そういうルールを作らないと、部長が処分されました。しかし、また壊れた時に別の人にディスクが渡りましたというのが日常茶飯事で起きる恐れがあります。即ち、例え部長でもこれは社内のルールで渡せませんといえる環境を作っていたかどうかも、問われます。（上司の監督責任と会社の内規不整備）

個人情報の管理、コンプライアンスの管理は、リレーのようなものです。
Aさんが、Bさんにお願いをした。Bさんが作業をして、Aさんに結果を報告するといったリレーの中で、予想しない情報の流出や食い違いが発生し、法令を逸脱する行為が発生します。そこで大事なのは、AさんとBさんの間で食い違いが起きて漏れたなら、もちろん漏らした当人が、確認を迫られることは仕方がありませんが、その漏洩を行った手前の人も、問題がなかったのか確認させる必要があります。その過程で手順の不履行があれば、そこから見直さないと、問題は根絶できないのです。だから、処分は一人ではなく、連帯を前提とします。

処分において社内のルールに不備がある場合は、不問としたり、口頭注意だけで終わらせることもあります。個人情報漏洩の場合は、その代わり絶対に漏れていない、バックアップを他人に渡していないことを誓約させる必要があります。

それをやっていた場合は、速やかに上層部と協議し、一般に情報漏洩についての開示を行う必要があります。社長などトップがそう決めれば別ですが、自分から隠すと大変不幸な結果になりますのでご注意ください。
これは、ISMSにおけるPDCAサイクルの考え方です。ただ、すぐに処分すればOKではありません。

そうやってリレーの中で一人の責任より連帯での管理を問われる（確認される）ことで、自分がミスをしたときに、自分だけが受ける処分より、自分がミスをすると周りも相応に確認を迫られるというリスクを考えるようになるのです。さらに、それだけではなく連帯を持つ以上、多人数チェックの体制などを励行することで、より高い連帯感を醸造することができます。

一人のミスを一人の責任として上司に処分申請するのは、残念ながら衰退する企業の一例です。何故なら、失敗を繰り返す人が、処分されることを繰り返すことで出来ない人を、差別する傾向が社内に強くなるためです。これは、この質問からも見られます。それは、即ち処分される側からすれば理不尽に映る恐れがあり、素行が悪くなります。周りからすれば、あいつのせいでと言い続ければ、またあいつかという雰囲気を作ります。即ち、場合によってはその人が直接の原因でなくとも、報告しましたなどの理由でその人が悪いと決まるのです。

支えても支えてもダメな人は、周りに迷惑を掛けることを理由に、自主退職をするという自浄が働く場合や上司が面談するなどで、職務から自主的に離れることがありますが、責め立てる方法だと、無理をしても働く人も多くなり、組織が切り落とした後に、その本人が裁判でパワハラを訴え揉める可能性も高くなります。（一カ所でそれが発生すると、多発的に出てきますのでお気をつけください）

そのため、基準や手順はインシデントと連動させて見直しを行い。その基準や手順の基本は、ダブルチェックや、漏洩責任の多重化によって守らせる必要があります。一人を切り捨てる組織は、一人に責任をなすりつける場合があり、ハイリスクの作業を全体が嫌う傾向が露骨に出てきますので、成長戦略の悪化にも繋がります。

当人がディスクの抽出をまだ行っていないのであれば、上司と相談の上でディスク返却を速やかに命じます。それさえすれば、寛大に対処しても不味くはないかもしれません。（上司の判断次第です）ただし、抽出が出来ている可能性を考慮し、社内規定に基づき、社内で知り得た情報を、他に漏洩しないという誓約書（ISMSの遵守をしている場合なら、通常は入社時に記載させます）を再度記載させることは絶対として、必要に応じて顛末書の記載などを命じる必要があるでしょう。（もしディスクを捨てていた場合）

たぶん、質問者様の会社ではこういう内規が少ない会社なのだと思います。
その場合は、この機会にそういうルールを作った方が良いですよ。組織が大きくなったり、電子情報が増えると、特にこういう問題は多くなりますので、個人に徹底させても、上手くいきません。そういう全体で醸造するルールを作ると共に、一度こういうルールについて社員に説明すれば、組織のコンプライアンスは向上するはずです。

以上のようになります。
私の経験では、法的にというケースもありましたけど（内容は書けませんが）。事象を過去の別の問題と照らすより、今回の状況を客観的に見て、どういう処分が内規で見ると適当かを考えるのが妥当です。その人を、最初から下げて考えると、パワハラなどで後から会社が不利になる可能性もあります。基本的には、他の例とは分けてこれを見ること。
その人の過去の行動がどうであれ、その人の日頃を知らない人から見ても、これは適正な判断だと思われる対処をしましょう。

この回答へのお礼

詳細の説明を踏まえたご返答、有り難うございます。
個人情報保護に関する方針ということで当社サイト上でも掲示されており、情報機密に関する社内規約もあるのですが、他社からのコピーを流用し今回のように全く徹底されていないのが事実です。
しかも保守管理のキーマンとなるべき人物が率先してそのような行動を起こしており、報告したところで、自分に火の粉が飛んで来ないとは限らないのが実情です。
上記ににも記載しましたが、報告先となる上司は文書データpdf形式を最近知った、またタブレットとデジカメを混同しているような状況です。
しかし、個人的興味からその行動を行ったことはビジネスマンとしてのモラルが欠如した悪質な行為であることは私からも理解出来る為、報告は必須であると考えています。
しかし、悩みます。常識を持ち合わせた会社であるとは言い切れないので…。

お礼日時：2014/12/08 13:27

No.1 回答者： pusai 回答日時： 2014/12/08 06:32

まともな会社であれば社内のセキュリティ規則があります

そしてＨＤＤを無断で持ち出した行為はセキュリティ規則違反で懲戒処分となるのが普通でしょう
処分は、社内的にに事実関係を公開されたうえ、数ヶ月の減給処分といったところでしょう

最近、世間で話題の個人情報漏洩問題に関わる案件です。
「更に上の上司」に報告をしておくほうが良いでしょう
「更に上の上司」も監督責任で懲戒処分は免れない立場です。知っておく必要があります。
このまま黙秘していると質問者様も共犯者として扱われる可能性もあります