新倉茂彦の情報セキュリティAtoZ：ITmediaオルタナティブ・ブログ (RSS) 新倉茂彦の情報セキュリティAtoZ

～攻撃は最大の防御なり～正解のない対策を斜めから斬る

続：三菱UFJ証券の情報漏洩に「情けなさ」を感じた。犯行報酬３０万円の代償

2009/04/09

今朝の産経新聞の朝刊には、3面にもわたる記事で事件が大きく取り上げられていました。３０万円の報酬と引き替えた代償は、あまりにも大きいものだと考えます。Web版の産経新聞はこちらからどうぞ。

３０万円で売却された顧客情報、売っぱらった社員は、これっぽっちも何とも思っていないだろう。それは３０万円の金銭的価値は３０万円だからです。

何もしていないのに、自分の情報を開示した会社の管理体制の不備という身勝手な状況で、自分の情報が売られ、知らないところからDMや連絡が来るようになった。顧客側からすれば、３０万って金額に怒りがこみ上げて来るでしょう。自分たちの情報がこの程度の金額で売買されているのだから。

証券会社や金融機関に限らず、それなりのセンシティブな情報を扱う企業は、顧客情報に限らず、機密情報も含めて、情報を持っている。持っている限り、漏洩する可能性があるのです。

絶対に情報漏洩しないのは、漏れる情報そのものを持っていない限り、あり得ないのです。

私の勝手な意見ですが、余罪も多いのでは？と思ってしまいます。

これ、Winnyなどの暴露ウィルスで、売っぱらった社員の個人的な情報だけが漏れたのならば、「あーあ、漏れちゃったのね」で済みます。自己責任って範囲はここまでだと思うのです。

預かっている顧客情報や、企業間で持っている機密情報なども、１企業だけのものではありません。

個人情報を記載する場所には、必ず「その目的以外は。。。使いません」って、書いてあります。書くだけならば誰にでも出来るのでしょうか？　書く責任ってものを強く意識しなければなりません。企業の責任です。

一方で、三菱UFJ証券の被った損失は、３０万円では済まないのは明白です。桁がいくつ増えるのでしょう？しかし、桁が増えるのは、自らが管理しきれなかったことと反比例な関係です。

同じような問題は、どこの企業でも起きるのです。「うちは大丈夫」なんて、寝ぼけたことを言っている状況と時代ではないのです。

市川さんの書かれた職業倫理観の欠如に

事件を起こした当事者がたどる末路を、企業では社員に対してどの様に知らしめているのでしょうか？

という部分、共感しました。ここがイメージ出来ていない限り、企業も社員もなにもわからないのでしょう。

今回の、売っぱらった社員の人も、ここが鮮明にイメージ出来ていれば、３０万円に見合うことでない。ことがわかったと思うのです。

機密情報の金銭的価値は中身により大きく変わるでしょうが、顧客情報の今回漏洩した範囲は、この程度の金額にしかならないことを学習したのです。これらが鮮明にイメージできていれば、今回のような事件が、如何に見合わないものなのか。。。だけでもわかったのではないでしょうか？

そもそも、見合うとか、見合わないとかの問題ではないのですが、倫理のないところには、別なモノサシを当てるしか方法はありません。

それでも、情報を持ち出しますか？

にいくら

2009/04/09 23:31:36

Comment(8)

trackback(1)

Special

- PR -

最新の投稿

コメント

miyaさん

2009/04/10 00:16

安い金額でも犯罪を行うということは、絶対に発覚しないと思っていたからだと思います。犯罪者を出す前に絶対に発覚するのだということを納得させればこんな事は起きないのではないでしょうか。抑止力が必要です。情報漏洩対策には、防止を考えるよりも抑止を考える方が有効ではないでしょうか。

新倉茂彦

2009/04/10 00:30

miyaさん、コメントありがとうございます。

>絶対に発覚しないと思っていたから・・・
そう、そうなんです。しかし、そこが甘い部分でもありますね。

>情報漏洩対策には、防止を考えるよりも抑止を考える方が有効・・・
ケースによって異なると思いますが、１００％の防止が無理なのですから、防止策だけでは不足です。狙う相手は、いかなる方法でも防止策の穴を探ってきます。

一方で、抑止自体に防止機能はありません。が、抑止効果は人の行動に影響を与えることが出来ます。
コンビニ店員の声かけなどが、万引き防止の抑止効果です。声をかけることで、常に見ているよ！と。。。

そろそろ、イリーガルビューの出番ですね！(笑)

JRX

2009/04/10 00:46

ベンチャー企業を渡り歩いたおかげで、
噴飯モノのセキュリティ・リスクの現場を
何度も目の当たりにしました。
（とてもここでは書けません）

> 「情けなさ」を感じた。
おっしゃるとおりで、チープなんですよね。
新倉さんのおっしゃる「イメージ」という言葉が
大事だと思いました。

Imagine all the people♪～

市川朝之

2009/04/10 02:50

新倉さん
拙稿のご紹介ありがとうございます。

拙稿のmiyaさんへのお返事にも書きましたが、
＞まさか、片○機長みたいな病気ではなっかたのか？と心配してしまいました。
安易に「生データが見られる」と言うのも危ないのですが、メンタルケアの観点から情報漏洩防止の考察などは、如何でしょうか？（これも重い問題）

新倉茂彦

2009/04/10 09:55

JRXさん、コメントありがとうございます。

>> 「情けなさ」を感じた。
>おっしゃるとおりで、チープなんですよね。

チープなんです。怒りがこみ上げました。
売っぱらった社員だけの問題ならば、上記に書いたWinnyと同じです。
関係者の方々に、どれほどの影響が出るか。。。やはり、イメージすることが大切だとおもいます。
情報漏洩対策も、守るだけじゃダメなことが明白になりましたね。

新倉茂彦

2009/04/10 10:01

市川さん、コメントありがとうございます。

>安易に「生データが見られる」と言うのも危ない

物理的なこととして、生データが見られる問題があると思いますが、コレが見られないと仕事進まないですよね。人数を限定するとか、行われているようですが、もっとも重要なことは、仕事が円滑に進まなければ意味がないことです。セキュリティのために仕事がやりにくくなったら、本末転倒だと思います。

>メンタルケアの観点から情報漏洩防止の考察などは、如何でしょうか？

メンタルのケアも大切だと思います。情報セキュリティだけでない広範囲な問題と思います。
それよりも、メンタルな部分でイメージできる情報セキュリティ、漏洩対策のが即効性があると考えています。

いさご	2009/04/10 12:13
なるほど。漏洩した私の情報は6円（30万円/5万件）ですか…。切ない金額ですね。 http://blogs.itmedia.co.jp/isago/2009/04/ufj-3dd2.html まだ来ぬ謝罪書面の通知の内容はいかに。

新倉茂彦

2009/04/10 13:52

いさごさん、コメントありがとうございます。

>漏洩した私の情報は6円

もう少し高くても良い感じはしますが、売りを急いだと思われます。
と、6円は仕切り価格と言うか、原価と言うか。。。末端価格はもっと高いはずです。←詳細はわかりませんが

コメントを投稿する