30秒で読める危機管理コラム

危機管理のプロの観点から時事ニュースを考察しました。

NPO法人の犯罪インフラ化に注意が必要だ

「特定非営利活動法人(NPO法人)」が脱法的に売買されている問題が顕在化している。福島県内のNPO法人が土木建設業者に買い取られ、約1年後、別の同業者に転売された事例が報道されていたが、いずれの業者も信用をバックに地元企業や行政に入り込み復興関連事業を受注するなど「もうけ話」目的だったという。同様の事例は、東日本大震災直後にも見られた。地震発生直後、反社会的勢力の関与があるNPO法人が被災地自治体にどこよりも早く支援を行い、信頼を得た自治体の復旧・復興支援事業に食い込んだというものだ。残念なことに、今は熊本地震の復興事業がターゲットだという。翻って、企業の実務においては、NPO法人やNGO法人などを安易に信用せず、その実質的支配者の確認や役員の状況、これまでの活動実績、来歴の確認など、丁寧に確認する必要がある。(芳賀)

社内的使命を踏まえた働き方改革を

東海道新幹線内での殺人事件、亡くなられた方のご冥福をお祈りしたい。また被害者にお見舞い申し上げたい。放火事件の際、私は安全軽視を指摘したが、車内の防犯カメラ増設等の対応に留まった。JR東海はもともと、働き方改革の一貫として、「検札業務を軽減して車掌の車内巡回を強化し、セキュリティー向上につなげる」としていたが、本年3月に車掌を3人から2人に減員すると発表した。乗客の様子を伺う絶好の機会である検札を止め、保安要員でもある車掌を減らす。安全対策強化の観点からは全く逆行している。カメラをつけても未然防止には動ける要員が必要だし、不審者対応は訓練も必要だ。安全と安心なくして交通機関への信頼はなく、不作為による安全確保もあり得ない。乗客の安全を置き去りにした働き方改革では、社会的使命を果たせない。(西尾)

【注意喚起】GDPR に便乗する詐欺行為に注意──偽メール送り付け、悪意サイトに誘導か

GDPRへの対応を進める企業では、オンラインサービスの顧客に対して自社の情報保護ポリシーの変更あるいは情報の取り扱いに関する同意などを通知したり、要求することがある。こうした取り組みを模倣し、実在する企業の名前などを使って偽メールを送り付け、詐称した企業のウェブサイトに似せた詐欺サイトに誘導して情報を入力させ、マルウェアに感染させる詐欺行為が確認されている。法改正や制度改訂の周知に便乗し横行する手口であり、この時期特にメールの取り扱いは慎重に行う必要がある。「スペルミスなどの不自然な点がないか」「安易にリンクをクリックしない」「記載されたURLが正規のものかどうか注意深く確認する」など社内で詐欺の手口や注意の必要性をアナウンスするとともに、万が一被害に遭った場合の対処法を確認しておく必要がある。(佐藤)

中小企業の「魅力」いかに高めるか──働き改革「取り組みなし」6割、人材育成も課題に

神奈川県が中小企業を対象に実施した調査によると、63.5%の企業が働き方改革に「取り組んでいない」と回答したという。それを従業員別でみると101人以上の企業では14.3%だった一方、21~50人は35.4%、5人以下は74.3%だった。「人員に余裕がないため」が理由の最多を占めた。人員不足により労働条件の改善が不十分なため、求職者が集まらない、離職の増加など負の連鎖になっている面もあろう。他方、人材確保の課題については「求める質の人材がいない」が53.5%と最多だ。これらを解決するには、入社後の人材育成で生産性を向上させるしかないだろう。自社で難しければ、ポリテクセンターによる訪問生産性訓練も有効だ。経営者は人材不足を嘆くだけでなく、人事労務面に限らない生産、販促や財務面などで改善を図り、会社自体の魅力を高めることが求められる。(伊藤)

違法民泊「大量削除」、エアビーアンドビーは悪者なのか──痛みに耐えたコンプラ重視に評価も

本年6月15日に住宅宿泊事業法(通称:民泊新法)が施行されるのを前に、民泊仲介業最大手の米国企業は、同法の許認可を得ていない民泊施設約4万8千件の掲載を取りやめた。一部の民泊事業者や利用者からは批判の声もあがっているが、同法は昨年6月に成立したもので、許認可取得に向けた一定の準備期間は確保されていたはずだ。施行日を前にした「違法民泊」の掲載取りやめは、まっとうな判断だろう。加えて同社は、掲載が取りやめとなった施設の予約客に対する補償のために、約1,000万ドルを拠出するという。今回の判断が新法施行の間際となった背景には、規制当局とのぎりぎりの駆け引きがチラつくが、その帰結として(事業者・利用者の反発や巨額の補償費を甘受してなお)コンプライアンスを優先した同社の経営判断は、一定の評価を得て然るべきだろう。(山岡)

サイバー攻撃の巧妙化、「リスクベース・アプローチ」も──「セシール」不正アクセス

本年6月2日、国内大手通販会社「ディノス・セシール」が不正アクセスの被害に遭い、顧客情報が閲覧されたという。同社によれば攻撃者はまず、膨大なメールアドレスのリストを総当たり式で会員登録フォームに引き当て、「会員登録されているかどうか」を調べた後、会員登録されたメールアドレスのみを対象に(より高度な)サイバー攻撃に及んだ模様だ。今般、事業者の防御システムも進化しており、高度な不正アクセスでも検知される可能性は小さくない。攻撃者はまず、正当な会員登録フォームを悪用した「検知されるリスクに備えた前処理」を経たうえで、高度な攻撃を限定的に展開したものと見られている。皮肉にも、危機管理における「リスクベース・アプローチ」の模範ともいえる手法であり、昨今のサイバー攻撃の巧妙化と高度化を示唆していよう。(山岡)

Back to Top