サイバーセキュリティにおける職業倫理について

Professional ethics : 職業倫理 について

職業倫理には、プロフェッショナルに求められる個人および企業の行動基準が含まれます。

プロフェッショナリズムという言葉は、もともとはキリスト教修道会の誓約に用いられていました。遅くとも1675年までには、この言葉は世間的に用いられるようになり、神学、法律、医学という3つの学問的職業に適用されました。この同じ時期にプロフェッショナリズムという言葉は軍事的職業にも用いられるようになりました。

プロフェッショナルと認められた職業に従事する人々は、専門的な知識と技術を行使することになります。公衆にサービスを提供する際に、この知識の使用をどのように律するかは道徳的な問題と考えられ「Professional ethics : 職業倫理」と呼ばれています。

必要な知識やスキルを身につけ、置かれた状況で判断を下し、スキルを応用し、情報を元に決定を下すことができます。
職業倫理の最も古い例の1つは、医師が今日まで遵守しているヒポクラテスの誓いがあります。

出典:Professional ethics|Wikipedia
https://en.wikipedia.org/wiki/Professional_ethics

日本における職業倫理について

職業としての技術者における倫理、いわゆる技術者倫理についてですが、日本における現状が示されております。

技術者倫理とは何かという根本的な問いに対して、明確な答えが我が国はまだないという点を指摘しなければならない。米国など英語圏で強調される「(知的)専門職集団すなわちプロフェッション(profession)」概念が日本では希薄であるため、この概念なしに技術者倫理を定義しなければならない。また、著者らが主張しているように、技術者倫理を「価値共有プログラム」とみなすならば、日本の技術者が重視すべき価値とその優先順位の明確化を進める必要がある。さらに、大多数の技術者が企業で働いているので、技術者倫理と企業倫理との関係や、公益通報や内部告発の扱い方などを明示しなければならないだろう。

札野 順 (2006) . 技術者倫理教育、その必要性、目的、方法、現状、課題|工学教育(J.of JSEE) 19-20.

日本における技術者倫理は米国とは歴史的な経緯が異なっており、大多数の技術者が企業で働いていることから企業倫理が基礎となり、技術者倫理を含む職業倫理と企業倫理は、相互に守るべき関係にあると考えられます。

企業倫理と職業倫理の関係について


なお、企業の行動は投資家、消費者などのステークホルダーに大きな影響を与え、あるいは社会や環境に深刻な被害を与えることもあります。よって技術者倫理よりも広範な社会的責任を負う立場としての倫理観が必要です。例えば経団連の「企業行動憲章 実行の手引き(第8版)」によれば、国の内外において次の10原則に基づき、関係法令、国際ルール、およびその精神を遵守しつつ、高い倫理観をもって社会的責任を果たしていくことを宣言しております。

企業行動憲章

持続可能な社会実現のために

  1. イノベーションを通じて社会に有用で安全な商品・サービスを開発、提供し、持続可能な経済成長と社会的課題の解決を図る。
  2. 公正かつ自由な競争ならびに適正な取引、責任ある調達を行う。また、政治、行政との健全な関係を保つ。
  3. 企業情報を積極的、効果的かつ公正に開示し、企業をとりまく幅広いステークホルダーと建設的な対話を行い、企業価値の向上を図る。
  4. すべての人々の人権を尊重する経営を行う。
  5. 消費者・顧客に対して、商品・サービスに関する適切な情報提供、誠実なコミュニケーションを行い、満足と信頼を獲得する。
  6. 従業員の能力を高め、多様性、人格、個性を尊重する働き方を実現する。また、健康と安全に配慮した働きやすい職場環境を整備する。
  7. 環境問題への取り組みは人類共通の課題であり、企業の存在と活動に必須の要件として、主体的に行動する。
  8. 「良き企業市民」として、積極的に社会に参画し、その発展に貢献する。
  9. 市民生活や企業活動に脅威を与える反社会的勢力の行動やテロ、サイバー攻撃、自然災害等に備え、組織的な危機管理を徹底する。
  10. 経営トップは、本憲章の精神の実現が自らの役割であることを認識して経営にあたり、実効あるガバナンスを構築して社内、グループ企業に周知徹底を図る。あわせてサプライチェーンにも本憲章の精神に基づく行動を促す。また、本憲章の精神に反し社会からの信頼を失うような事態が発生した時には、経営トップが率先して問題解決、原因究明、再発防止等に努め、その責任を果たす。

サイバーセキュリティにおける職業倫理について

日本のサイバーセキュリティにおけるプロフェッショナルとして、国家資格である情報処理安全確保支援士が挙げられれます。なお情報処理安全確保支援士には倫理綱領が定められております。

前文
情報処理安全確保支援士は、社会的通念やモラルに従い、情報セキュリティの専門家としての矜持を保ちつつ、サイバーセキュリティの確保を通じて、公衆の生命・安全・財産を保護し、安全・安心な社会の維持に貢献する。
情報処理安全確保支援士は、その使命を全うするため、品位を保ち、技術の研鑽に励み、国家資格「情報処理安全確保支援士」として、この倫理綱領を遵守し、公正・誠実に行動する。

【基本原則】

  1. 公正と誠実
    情報処理安全確保支援士は、業務上の判断を行うにあたり、先入観をもたず、他者からの不当な影響を受けず、常に公正な立場を堅持し、公正・誠実に業務を遂行しなければならない。
  2. 秘密保持
    情報処理安全確保支援士は、正当な理由がなく、その業務に関して知り得た秘密を漏らし、又は盗用してはならない。
  3. 法令等の遵守
    情報処理安全確保支援士は、法令等や専門職としての倫理を遵守しなければならない。
  4. 信用保持
    情報処理安全確保支援士は、専門家としての自覚をもち、信用を失墜する行為をしてはならない。
  5. 自己研鑽
    情報処理安全確保支援士は、専門家としての能力を必要とされる水準に維持し、かつ自らの知識・技能を高めなければならない。

情報処理安全確保支援士の倫理綱領を例にとると「公正と誠実」の基本原則において、 「業務上の判断を行うにあたり、先入観をもたず、他者からの不当な影響を受けず、常に公正な立場を堅持し、公正・誠実に業務を遂行しなければならない。」とされております。つまり日本における職業倫理では、業務命令を遵守しつつも、業務上の判断を行うにあたり職業倫理が相反してしまった場合は、職業倫理を優先しなければなりません。では、業務命令と職業倫理が相反してしまった局面とはどんな状況が想定されるでしょうか。

業務命令と職業倫理が相反してしまった状況について

2022年7月1日 経済産業省は、割賦販売法に基づくクレジットカード番号等取扱業者である株式会社メタップスペイメントに対し、同法第35条の17の規定に基づく改善命令を発出しました。

処分理由について、情報セキュリティ管理担当役員が脆弱性診断の報告書の改ざんを承認していたということから、職業倫理における「法令等の遵守」に該当する事案だったと思います。なお、担当役員より脆弱性診断の報告書の改ざんを指示された場合、担当職員は業務命令と職業倫理が相反してしまう状況だったと思います。または他の経営陣に対して、報告書が改ざんされた事実の報告が行われなかったことを担当職員は知っていた状況も考えられます。

なお、WEBアプリケーション脆弱性診断の報告書の改ざんについては、担当職員から情報セキュリティ管理担当役員に報告がなされており、ネットワーク脆弱性スキャンの報告書の改ざんに関しては、情報セキュリティ管理担当役員が改ざん前及び改ざん後の報告書の承認をしていた。しかしながら、これらの役員から他の経営陣に対して、これらの脆弱性が検出された事実及びPCIDSS監査に当たって提出する報告書が改ざんされた事実の報告は行われていなかった。

2022年6月30日 クレジットカード番号等取扱業者に対する行政処分を行いました|経済産業省

こうしたことから情報処理安全確保支援士の倫理綱領によれば、「公正と誠実」の基本原則において、 「業務上の判断を行うにあたり、先入観をもたず、他者からの不当な影響を受けず、常に公正な立場を堅持し、公正・誠実に業務を遂行しなければならない。」とされております。具体的な手段としては、予め内部通報や公益通報の扱い方などを明示しなければなりません。

内部通報や公益通報について

担当役員より脆弱性診断の報告書の改ざんを指示された場合を想定すると、内部通報については他の経営陣に通報することが考えられます。また企業によっては予め用意された内部通報窓口を利用することで、「法令等の遵守」に向けた業務命令の改善に繋がる可能性があります。

しかし、内部通報によって業務命令の見直しが図られない場合も想定されます。このような場合は、公益通報者保護法別表第八号の法律を定める政令において、規制権限のある行政機関(法第3条第2号に規定)に対して公益通報することが想定されます。

公益通報の条件

  • 通報者が通報の対象となる事業者へ労務提供している労働者であることのほか、必要と認められるその他の者
  • 通報に不正の目的がないこと
  • 法令違反行為が生じ、又はまさに生じようとしていること
  • 通報内容が真実であると証明できること
  • 通報先の行政機関が法令違反事実について処分又は勧告等の権限を有していること


また、消費者庁のホームページから公益通報の通報先・相談先 行政機関検索を用いて調べることもできます。

消費者庁 公益通報の通報先・相談先 行政機関検索

例えば、割賦販売法第35条の16に規定する「クレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、脆弱性診断の報告書の改ざんについて公益通報する場合の連絡先は以下の通りです。

また、公益通報する際には以下の情報を揃えておくことが必要です。

公益通報をされる際に必要な情報

  • 連絡先(住所、電話番号、メールアドレス等の連絡先)
  • 被通報者(法令違反を行っている事業者等)
  • 通報者と被通報者の関係
  • 法令違反又は法令違反のおそれがある行為の内容と該当法令

まとめ

サイバーセキュリティにおける職業倫理は企業を不祥事から守る最後の砦となります。

事業者自身が違法行為を早期に把握し、自浄作用を発揮させることにより違法行為の是正を図ることが可能となるという意義あるものです。

職業倫理は法令遵守の推進や組織の自浄作用の向上に寄与し、ステークホルダーや国民からの信頼の獲得にも資するものです。事業者が適切に事業を運営し、商品・サービスを提供していくことは、事業者の社会的責任を果たすとともに、ひいては持続可能な社会の形成に寄与するものだと思います。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ