「情報漏えい、当社に関係なし」の嘘（第8回） 問われる“名前出し”の是非

　販売や接客の現場で働く従業員は、通常ネームプレートを付けている。ところが最近、氏名公開がプライバシー侵害につながるとして、このような名前出しに反対する意見がインターネット上で聞かれるようになった。

問われる「信頼関係」と「プライバシー」の両立

　百貨店、銀行、レストラン、小売店など、接客を行うサービス業に従事する人々の多くは、業務中にネームプレートを付けることを義務付けられている場合が多い。その実務的な理由としては、顧客が声をかけやすくすることが挙げられる。さらに親しみを感じてもらいやすくなる、ファンになってもらうなど、顧客との距離を縮める効果もある。

　さらにサービスに責任を持つという意思表示の意味合いや、問い合わせ先を明らかにして信頼感を高める目的もある。店舗で発行するレシートにはレジ担当者名を記載するのもこうした狙いがある。

　しかし、この“名前出し”に対し、「ストーカーやクレーマーから従業員の安全が守れない」として疑問を呈する声が上がっている。名前の明示はプライバシーを損ない、従業員を危険にさらすという主張だ。

　ネームプレートの氏名から本人を特定されてストーカー被害を受けたり、指名されて理不尽なクレームを押し付けられたりといったトラブルが生じる可能性は否定できない。そこで各企業はネームプレートの表示を姓のみにする、ひらがな表記にする、さらには記号や番号表示に切り替えるなど、さまざまな対応を模索している。

　日本経済新聞の記事によれば、「セブン＆アイ・ホールディングス傘下のイトーヨーカ堂は昨年11月からレシートの担当者名をカタカナの名字のみに変更した」（日本経済新聞夕刊2017年3月27日付）。イオンリテール、東急ハンズなども氏名の掲載を変更する予定だという。

公開しつつ個人情報を守る「2段の構え」

　従業員が自分の氏名を示す機会は、ネームプレートだけに限らない。例えば企業のWebサイトには、社長をはじめ多くの従業員名が掲載される。最大のメリットは「責任所在の明確化」だ。あらゆるビジネスにおいて、信頼は欠かせない要素となる。社名、所属部署名、氏名の表示は、自らが責任を持つことを相手に伝える有効な手段だ。

　一方、氏名は個人情報であり、第三者に悪用されるリスクは無視できない。最近多発している情報漏えい事件で問題になる個人情報の多くは、氏名にひも付いたデータである。自分はストーカーやクレーマーに遭う心配はない、と思ってはいないだろうか。氏名の情報はWeb上にアップロードした段階で拡散する。企業で使われるメールアドレスは「氏名（主に姓）＠会社ドメイン」の形式が多いため、ここまでは比較的簡単に類推されてしまう。ウイルスを送り付ける攻撃者にとって、氏名は“使える”材料なのだ。

　次にターゲットのサーバーやSNSアカウントにアクセスするためのID・パスワードが狙われる。残念ながら現在も、氏名などから類推できる文字列を使っているユーザーが存在する。「複数の社員が使うから」「忘れて困らないように」など理由はさまざまだが、これでは攻撃者を支援しているのと同じだ。設定する際には、推測される危険を常に意識する必要がある。なお、これらのID・パスワードは設定後、定期的な変更も改めて徹底したい。

　企業のクラウド活用が進む中、攻撃者にID・パスワードを簡単に推測されて、システムに侵入される事態は避けなければならない。クラウドサービスを活用する際は、インターネットではなく、物理的、論理的に切り離したネットワークを構築しておきたい。「閉域網」と呼ばれるこのネットワークには各種あるが、インターネットをまったく利用しないシステムは不便なため、ファイアウォールやUTMなどの情報セキュリティー機器を通し、必要に応じてインターネットに接続する方式がよいだろう。

　氏名は個人情報であり、またシステムに侵入する糸口となるものだ。名前出しの是非を考えるのと同時に、ID・パスワードを盗まれにくい環境を整備すべきだろう。