管理職の情報漏えい事件が引き起こすもの

　元部長代理という管理職の権限を有する人による情報漏えい事件。社会における影響は、計り知れないものがある。
　
　社長や経営陣から「うちは、大丈夫なのか？」そんな、声が、各社で飛び交っているに違いない。　
　
　言われた情報システム部門、セキュリティ部門は、その返答に困っているのではないだろうか。それなりのセキュリティ対策はしている。ログも取っているし、権限の付与も考えている。仕組みとしては、きちんと施しているはずだ。しかし、この事件が起きてからの「大丈夫なのか？」という問いには、返答に困るのである。
　
　なぜか？　まず、幹部社員、責任者による情報漏えいに、本当に対応していないと言うのがひとつ。一般社員を対象にセキュリティをかけているケースがほとんどである。責任者はそもそも何でもできるように構築しているのが前提。仕組みで、責任者の行動を制限することは想定していない。では、どうするか。運用ルールで、セキュリティレベルを上げることを考える。しかし、このニュース報道を聞いていても、ルールは作っていたと言う。それでも、かいくぐってできてしまうのが責任者の権限なのだ。会社としても、責任者の行動は信用せざるを得ないところがある。
　
　今回の事件で、この責任者の権限に対するアプローチが求められることが予想される。つまり、責任者の権限をアウトソーシングすることもそのひとつ。融通性も効率性も下がるだろう。しかし、セキュリティを重視するのであれば、責任者の権限をに対して何らかのアプローチをしなければならない。
　
　しかし、アウトソーシングは安全なのか？　という疑問が残る。契約という縛りで、他社の人間に責任者権限を付与してよいのだろうか。そこで、権限の組み合わせという考え生まれてくる。複数の責任者が揃わないと、責任者の行動が取れなくなる仕組みである。責任者のIDを２つ入力しないと、その先の作業ができないという仕組みにするのである。この複数の責任者を社内の人間とアウトソーサーとで分ける。
　
　しかし、こんなところまで考えていっても、やはり抜け道が発生するし、そもそも業務が回らなくなってしまっては元も子もない。
　
　セキュリティは、誰を信じればよいのかというところに行き着く。
　
　セキュリティ過敏症という症状が、社会に生まれ、目立つようになるのではないだろうか。経営陣は、安全・安心という担保が欲しい。その担保するものが、今は見つからないのだ。
　
　この事件は、単なるセキュリティ事故・事件では済まされない様相を呈している。責任者とは、何なのか、何を信じればよいのか。永遠のテーマの追求が、各社で始まるかもしれない。
　
　それに答えるものが見つかるのか．．．
　
　外部の人間を入れて、議論しつくしか答えは出てこない。外部の人間を入れなければ、答えは出ないと思う。その会社の答えを見つけるために、今、情報システム部門、セキュリティ部門は、右往左往しているに違いない。
　
　我が社は、大丈夫か？　この問いにこたえるために。