ランサムウェア攻撃の被害にあっているKADOKAWAグループや基幹システムのトラブルが生じている江崎グリコの求人広告に記載された雇用条件は、情報セキュリティ人材の確保にいくら投資するかを示す「人的資本開示」の側面がある

こんにちは。弁護士の浅見隆行です。

今日は雑感です。

2024年6月8日未明から、KADOKAWAグループは、サーバに対してランサムウェアなどによる攻撃を受けシステム障害が発生し、7月3日時点で、ドワンゴ全従業員の個人情報が漏えいするなどの大規模な情報漏えいが明らかになっています。

KADOKAWAグループの求人広告

そうしたところ、今回のシステム障害が直接の原因となった求人であるかどうかはわかりませんが、6月24日から、KADOKAWAグループが機能子会社と位置づけるKADOKAWA Connected が薬院直下組織の情報セキュリティコンサルタントを求人していることが明らかになりました。

ITmedia NEWS

KADOKAWAグループ、セキュリティエンジニア募集中　最大年収800万円　「0→1を経験」

https://www.itmedia.co.jp/news/articles/2407/03/news137.html

6月に受けたサイバー攻撃がネット上でさまざまな反響を呼んでいるKADOKAWAグループは7月3日現在、セキュリティエンジニア職の求人を求人サイトに掲載している。最大年収は800万円という。

転職サイトのdodaに掲載されている求人情報には、給与（予定年収）は592万円〜800万円と提示されています。

この報道を見た瞬間に、もしKADOKAWAグループのシステム障害や情報漏えいと関連している求人だとするなら、事業継続を左右する一大事に関わる求人なのに安すぎるのではないか、と感じました。

（もちろん、システム障害や情報漏えいとは関係のない求人だったら、そんなもんかな、という印象です。）

危機時の求人広告は「人的資本開示」の側面

こうした情報セキュリティに関する問題が現在進行形で起きているときに、その問題に関連する求人広告に掲載する雇用条件は、求人広告という枠に留まらず、その会社が、情報セキュリティをどれだけ重大事と認識しているかを社外に示します。

求人する会社側は「情報セキュリティに関する人材に対する給与はこれくらいだろう」と通常の求人感覚で出しているかもしれません。

しかし、求人広告は今やオンラインに掲載されているので誰でも見ることができます。

求人広告を見た人たちには、「この求人広告は、現在進行形の危機に関する求人だろう」「この会社は、会社の事業を左右する一大事にこれくらいのコストしか掛けないのか」と受け止められてしまいます。

「事業を左右する一大事を助ける情報セキュリティに関わる人材を確保するために、どれくらいの投資をしようとしている会社なのか」という見方もできます。

求人広告が「人的資本開示」の側面を有していると言ってもいいでしょう。

平時に有価証券報告書に記載される「人的資本開示」よりも、危機時に求人広告に掲載する雇用条件のほうが「人的資本開示」の本音の部分が見えます。

もちろん、危機時だからといってむやみに高い雇用条件を掲載すれば、求職者から足元を見られかねません。能力が乏しい人が寄ってきてしまう可能性もあります。

とはいえ、危機的状況ですから、平時の雇用条件よりは上乗せした方が良いのではないでしょうか。

危機と関連がなく、たまたまそのタイミングでの求人広告ということでしたら、もちろん、通常通りの雇用条件で構いません。

タイミング的に誤解されるおそれがあるなら、求人広告の掲載を遅らせるなど、見え方への配慮をしたほうがよいかもしれません。

話はちょっと飛びますが、弁護士報酬も、危機発生直後の危機管理に関するアドバイスに対する報酬が、危機が落ち着いた後の第三者委員会による調査費用に対する報酬よりも安い会社もどうかと思います。

会社の危機への貢献度は前者のほうが大きいはずなのに時間が短いので相応の報酬に留まるのに対し、後者は人と時間を掛ければ掛けるほど積算されて高額になっていく・・・（グチです）。

アサミ経営法律事務所

2024.05.30

2年目を迎えた人的資本開示。2023年度の人的資本開示に対して金融庁が公表した「有...

https://www.asami-keiei.jp/blog/2024/05/30/14952

2年目を迎えた人的資本開示。2023年の人的資本開示に対して金融庁が公表した「有価証券報告書レビューの審査結果及び審査結果を踏まえた留意すべき事項等」を、2024年の人的資本開示にどう反映させたらよいか。

江崎グリコの求人広告

危機時の求人広告には「人的資本開示」の側面があること、つまり、危機を解消する人材を確保するためにどれくらいの投資をする意識があるかという会社の本音は求人広告を見ればわかることは、江崎グリコの基幹システムトラブル発生後の求人広告にも同じことが言えます。

2024年4月5日に、江崎グリコは、4月3日に基幹システム（報道では独SAP社製「SAP　S／4HANA」）を切り替えたところ障害が発生し、受発注や出荷業務に影響が出ていることを明らかにしました。

江崎グリコにとっては事業の継続を左右する一大事です。

この障害と直接関連するかはわかりませんが、グリコグループの情報システム部門を担う江栄情報システムは、システム障害発生翌日の4月4日から、転職サイトのdodaにSAPベーシス・インフラ担当の求人広告を掲載しました。

この雇用条件（予定年収）は、500万円〜850万円でした。

これもまた、タイミング的にも、求人の内容的にも、求人広告を見た人には「江崎グリコは、システム障害という事業の継続を左右する一大事に、人材を確保するためにはこれくらいの投資しかしないのか」と受け止められました。

求人広告・雇用条件と「資本コストや株価を意識した経営の実現」

去年もそうですが、今年は6月、7月とランサムウェア攻撃に伴う情報漏えい案件が相次いでいます。

例えば、イセトーがランサムウェア攻撃されたによって、同社に委託している徳島県、和歌山市、愛知県豊田市、公文教育研究会、日本生命、クボタ、三菱UFJ信託銀行などの個人情報が漏えいしたと報じられています。

ITmedia NEWS

徳島県、個人情報20万件漏えいの可能性　委託先・イセトーのランサムウェア被害で...

https://www.itmedia.co.jp/news/articles/2407/04/news126.html

納税通知書などの印刷業務を委託していたイセトーがランサムウェア攻撃に遭った影響で、個人情報約20万件が漏えいした可能性があると、徳島県が発表した。

公文教育研究会

KUMONからのお知らせ | 公文教育研究会

https://www.kumon.ne.jp/oshirase/2024071.html

KUMONからのお知らせ・更新情報を掲載しています。公文式(算数・数学、英語、国語)のご案内。幼児、小学生から中高生、社会人迄対象。近くの教室検索はサイトから。

アサミ経営法律事務所

2023.06.22

エムケイシステムがランサムウェアに感染した後の危機管理対応から「上場会社の開...

https://www.asami-keiei.jp/blog/2023/06/22/4836

上場会社としての開示は、投資家・株主に向けて株価の変動に影響する事象の存在を知らせるためのもの。危機管理広報は消費者・取引先・世の中の人たちに、信頼・信用を維持・回復、不安を払拭するための情報を提供するもの。目的も内容もまったく別物です。「開示をしたから危機管理広報ができた」などと誤解しないでください。

そうなると、必然的に、情報セキュリティ人材の争奪戦が始まります。

求人広告が「人的資本開示」の側面があることを意識して、危機管理や情報セキュリティに関わる人材を確保するためには今までよりももっと投資をした方がよいと思います。

東証が求めている「資本コストや株価を意識した経営の実現」と関連していることをも意識して欲しいと思います。

アサミ経営法律事務所

2023.06.10

尼崎市が全市民46万人分の個人情報を記録したUSBメモリを紛失した委託先に2950万円...

https://www.asami-keiei.jp/blog/2023/06/10/3555

BIPROGYが無断で再委託・再々委託したことをきっかけに、尼崎市民46万人分の個人情報が記録されたUSBメモリが紛失された。これに対し、尼崎市が2950万円を損害賠償請求することは危機管理として適切です。危機管理広報も見事です。

アサミ経営法律事務所

2023.05.24

個人情報漏えいの可能性について、どこまで公表する必要があるか？危機管理の観点...

https://www.asami-keiei.jp/blog/2023/05/24/1842

個人情報の漏えいの可能性があるときに公表するかどうかは、法律ではなく危機管理の視点で判断すべきです。危機管理の観点を忘れると、法律を守っていても炎上することがあるので注意が必要です。

アサミ経営法律事務所

2023.04.27

小学館の取締役がフィッシング詐欺の被害にあい、不正アクセスによる個人情報漏え...

https://www.asami-keiei.jp/blog/2023/04/27/416

こんにちは。弁護士の浅見隆行です。4月25日、小学館の取締役が、偽メール(SMS)に騙され、個人情報が漏えいしたおそれがあることが明らかになりました。このたび、弊社取締役が使用する会社貸与スマートフォンから、同スマートフォンに登録されていた個人情報が漏洩したおそれがあることが判明しました。 (中略)2023年4月4日に弊社取締役が使用する会社貸与スマートフォンに、宅配業者を装ったSMSが届き、それを真正の不在通知と誤認してアカウント、パスワードを入力。その後、スマートフォンに表示された通知によって、第三者による...

アサミ経営法律事務所

2024.06.18

鹿児島県警が国家公務員法（守秘義務）違反を理由に前生活安全部長を逮捕。第三者...

https://www.asami-keiei.jp/blog/2024/06/18/15414

鹿児島県警は、2024年5月31日、3月まで県警本部生活安全部長だった者が、退職直後の3月下旬に、在任中に入手した警察情報が印字された複数の内部文書（生活安全部人身安全・少年課が捜査した霧島署員による被疑事件の処理経過を印字した書面）を第三者に郵送して閲読させ、秘密を漏らした国家公務員法（守秘義務）違反を理由に逮捕。内部告発しようとする動機・目的での情報漏えいは、守秘義務違反になるのか？

アサミ経営法律事務所

2024.03.07

LINEサービス利用者の通信情報が漏えいしたことに関し、総務省がLINEヤフーに行政...

https://www.asami-keiei.jp/blog/2024/03/07/12580

LINEサービスの利用者の通信情報が漏えいしたことに関して、総務省はLINEヤフーに対し、通信の秘密の保護とサイバーセキュリティの確保に係る措置を講じて実施状況を報告するよう行政指導。「セキュリティガバナンスの不備」と他の企業グループへの影響。

アサミ経営法律事務所

2024.07.08

2024年7月5日付け朝日新聞デジタル・7月6日付け朝日新聞朝刊「KADOKAWAの公表遅す...

https://www.asami-keiei.jp/announce/2024/07/08/15827

2024年7月5日付け朝日新聞デジタル・7月6日付け朝日新聞朝刊「KADOKAWAの公表遅すぎた？　身代金払えば「違法の可能性も」」にコメントが掲載されました。蛇の目ミシン事件判決を踏まえて、補足解説。

アサミ経営法律事務所

2024.07.22

セキュリティソフト「クラウドストライク」の更新に伴い、WindowsPCの障害が世界規...

https://www.asami-keiei.jp/blog/2024/07/22/15990

セキュリティソフト「クラウドストライク」の更新に伴い、WindowsPCの障害が世界規模で同時多発。事業継続に関わるリスクとして捉え、今後の情報セキュリティのリスク分散はどうあるべきか。