情報漏えい対策は、攻撃と防御から・・・なくならないWinnyとユーザーの正常化バイアス
Winnyなどのファイル共有ソフトを通じて情報漏えいしてしまう――以前ほど報道されなくなったものの、その事例がなくなったわけではない。最近でも、明治安田生命の採用試験応募者約9000人分の個人情報が流出した事件や、2006度に神奈川県立高校などに在籍した生徒約2000人分の個人情報や授業料徴収システムの開発データが流出した事件など、たて続けに発覚している。
ニュースとして報道されないだけで、10月だけでも病院患者の個人情報、県の議事録、消防庁から区民情報、市民の監査資料、企業の新卒応募者の個人情報や面接結果、自衛隊からは作戦資料の流出などが明らかになっている。ニュースバリューの価値が低くなったと見られたのか、単に一般のニュースとして報道されなくなっているだけだ。決して、なくなったわけではない。
なかなか減らないですね。一時は連日のようにニュースになっていました。情報漏えいのニュースをgoogleのアラートで読んでいますが、まったくなくなってないです。
漏れたら、とりあえず隠しようがないから公表してしまえ!的な感じすらしています。それだけ多く発生しています。
しかし、それだけ多く発生すると、一番最初にニュースになった時とはインパクトが薄れていきます。またかぁ・・・と。
でも、被害者になってしまった方々は、そうではありません。自分に関係のない漏えいだと「またかぁ・・・」なのですが、そこに自分の情報が自分でコントロールの及ばないところで発生するのですから。。。
自分に関係なければ、対岸の火事そのものですが、これだけの発生量を考えれば、それなりに該当する率は以前よりも高いはずなのですが、どうなんでしょうか?
「正常性バイアス(normalcy bias)」とは、異常事態に直面しても、それを正常の範囲内としてとらえ、自分だけは大丈夫という心理が働くことです。ここで言う「バイアス」は偏見や先入観を意味し、日常性バイアス、正常化の偏見、正常への偏向とも呼ばれます。身近な例だと、体調に異変を感じても、「異常ではない」、「放っておけば治る」、「病院に行くほどではない」などと思い込もうとするのが、正常性バイアスです。
情報セキュリティ対策においても、この正常化バイアスが大きな壁となる場合があります。これだけ頻繁にファイル共有ソフトの暴露ウイルスによる情報漏洩事件が報道され、多くの組織が業務情報や個人情報を私用パソコンで使うことを禁止しているにもかかわらず、情報漏洩は一向に減りません。漏洩を起こした当事者からは、「自分だけは大丈夫だと思っていた」、「パソコンが普段と違う動作をしたような気がしたが、問題はないと思っていた」という証言が多く聞かれ、正常化バイアスの悪影響が強く疑われます。
この正常化バイアスがかかっているのが現状です。誰もが「そんなこと」が起こるとは考えたくないですし、その当事者になるとも思っていません。それは、「そんなこと」は、自分が大丈夫と思えば大丈夫、との勝手な思い込みに過ぎません。一方の当事者になってしまうことは、自分が大丈夫と思っても大丈夫でないのですが、そんなことは宝くじに当たるほどの確率くらいにしかない。と思われているようです。
そもそも人は、間違いを起こすものです。そんなことはない!と言える根拠はドコにもありません。じゃあ、起きない根拠もないんじゃないか?と。。。そのとおりです。ただ、ミスが起きてしまうことを、認識しなければなりません。
昨今の労働環境の問題なども、情報セキュリティや漏えい問題にも影響しています。次回に詳しく考察してみます。