あなたの会社にも、取引先やグループ会社に出向している社員はいませんか?あるいは、副業や兼業という形で、他社の業務に関わっている人はいませんか?
最近話題になったニッセイ・ウェルス生命保険や日本生命保険での出向先の機密情報持ち出し問題は、「保険業界の特殊な不祥事」ではなく、どの企業でも起こり得る“エアポケット的なリスク”を示した事件です。
なぜそう言えるのか――。その理由を、皆さんと一緒に考えていきたいと思います。
ニッセイ・ウェルス生命や日本生命で起きたこと
今回の問題は、2025年9月に報道された、ニッセイ・ウェルス生命保険の社員が出向先の銀行から内部資料を無断で取得し、自社の営業活動に利用していたというものです。
この社員は出向先の上司の承認を得ず、販売方針や営業実績などのデータを私用スマートフォンで撮影し、ニッセイ・ウェルス生命保険の営業部門へ共有していました。
親会社である日本生命保険も、複数の出向者による同様の行為を確認し、2019年から2025年までの6年間に、出向者13名が7つの代理店で604件の情報を不正に流用していたことを公表しました。
いずれのケースも「上司による明示的な指示は確認されなかった」とし、組織的な犯罪ではなく、出向者個々の判断による不正行為であったと説明しています。しかし、複数の社員が同様の行為を行っていたことから、成果主義によるプレッシャーや情報管理意識の欠如といった組織風土上の課題が背景にあったことも認めています。
問題の本質──なぜ他人ごとではないのか
本件を「保険会社だから起きた」とか、「成果プレッシャーが強かったから起きた」とか、「セキュリティ意識が低かったから起きた」とだけ捉えてしまうと、「自社には当てはまりにくい事例だ」で終わってしまい、学びが残りません。
私がこの事案で特に注目したのは、情報セキュリティリスク認識の落とし穴です。今回のような出向先の機密情報持ち出しリスクは、一般的な情報セキュリティリスクアセスメントでは抜け落ちやすい領域なのです。
というのも、企業が情報セキュリティリスクを考える際は、まず資産価値の高い情報を洗い出します。 資産価値が高い情報とは、社内の機密情報や個人データ、顧客から預かった情報などです。企業は、自社が保有・管理する資産価値の高い情報をリスト化し、「漏えいしたらどれくらい困るか(機密性)」「破損したり不正確になったりしたらどれくらい困るか(完全性)」「利用したい時に利用できなかったらどれくらい困るか(可用性)」といった観点でリスクを評価します。
では、出向先で扱う取引先の顧客情報や営業データはどうでしょうか。出向先で扱う取引先の顧客情報や営業データは、自社が保有しているわけでも、管理しているわけでもありません。むしろその管理責任は出向先や取引先にあるため、情報資産台帳のスコープから抜け落ちやすいのです。
一方で、相手企業の機密情報を不正に持ち出す行為は、情報セキュリティというよりコンプライアンス違反として捉えることもできます。しかし、扱うのは機密情報なわけですから、そこを考えるのは情報セキュリティ管理チームであると思いがちです。こうして、情報セキュリティとコンプライアンスの間に統制の“エアポケット”が生じることになります。昨今増えている副業のケースにも当てはまることです。
他社視点でのリスク認識が一段と求められる時代に
今回の事案が示したのは、成果に対するプレッシャーや情報セキュリティ意識の薄さに加え、情報セキュリティリスクアセスメントのアプローチそのものが持つ盲点です。
では、こうしたリスクに対してどのような対応が可能でしょうか。鍵となるのは、マルチステークホルダー視点でのリスク認識です。具体的には、ステークホルダーニーズ分析や、組織の内部・外部環境分析を通じて、問題を可視化することができます。
ステークホルダーニーズ分析とは、自社を取り巻く主要なステークホルダーの、自社に対するニーズや期待値を洗い出す分析手法を指します。ニッセイ・ウェルス生命保険の件でいえば、出向先の銀行がその一つになりますが、彼らは自社の機密データを慎重に扱うことを強く期待していたはずです。
また、組織の内部・外部環境分析とは、組織を取り巻く内部・外部の環境面から懸念事項や課題、リスクを洗い出すアプローチです。この分析手法を使えば、出向先との信頼関係こそが事業の生命線であり、そこに綻びが生じれば重大なリスクにつながる――。自分たちはこのようなビジネスモデルに依存しているのだと、緊張感に基づいた視点を持つことができ、新たなリスク認識に繋がります。
ところで、こうしたアプローチは、ISOマネジメントシステム(たとえばISO9001やISO27001)にも登場します。“利害関係者のニーズと期待”を把握し、内部・外部の課題を特定することが、リスク対応の出発点とされているのです。さらにこの発想は、人権デュー・ディリジェンスやAIシステムの影響度分析にも通じます。いずれも「自組織の行為が、自組織に対してだけでなく、個人や他組織にどう影響するか」を可視化する手法です。情報リスクも同じく、“自分のため”だけでなく“関係者の信頼を守るため”に考える必要があります。
ニッセイ・ウェルス生命保険のニュースを見て、そんなことに思いを巡らせました。一つひとつの他社事例を、自社の学びにどう生かすか――。その姿勢こそが、リスクマネジメントの真価なのかもしれません。
