オルタナティブ・ブログ > IT雑貨屋、日々のつづり >
RSS
IT雑貨屋、日々のつづり

IT業界につとめる「雑貨屋(なんでも屋)」が、業界の事、情報セキュリティの事、趣味や日々雑感を綴っていきます。お暇な方はおつきあい下さい。

情報漏洩とエンジニアとしての矜持

»

 佐藤@IT雑貨屋です。

 近年、DX(デジタルトランスフォーメーション)というのが話題になっています。これからは仕事の場や私達の生活の中に、さらに深くデジタル化は深く喰い込んで来るのでしょう。こういった流れの中では、デジタル情報によるビックデータや個人情報を、業務上で取り扱う機会も更に増加するであろうし、当然、それらを扱うシステムの開発者や保守メンテを行う担当者も、より増加していく事と思います。

 また2025年問題でも語られる超高齢化社会の中、深刻な課題として労働力の不足などが挙げられていますが、この労働力不足を補うためにも今後AI技術がさらに発展していくと共に、そういったシステムに関わるエンジニアの不足も言われていたりします。

 そんな状況の中で、昨年(2023年)の10月、NTT西日本系の元派遣社員が、個人情報を10年近く漏洩し続けていたのは、驚きの事件でした。

NTT西系の元派遣社員、個人情報10年近く漏洩か(日経新聞)

 報道によればシステム保守管理を行うNTTビジネスソリューションズの元派遣社員が、顧客データをUSBメモリに抜き取り外部に提供していたというのです。この業務で利用するPCにUSBメモリを挿入できる状態であった事も驚きですが、そこに大量の顧客データをダウンロード出来たという事には、なおさら驚いてしまいました。

 不正行為を検知するシステムも無ければ、人的管理もどうなっていたんでしょうね。

 私のいる職場ではUSBメモリを業務PCにつなぐ事も出来ないし、ましてや顧客情報を扱う操作卓は「機密度A」の部屋となっていて、入室するにも込み入った申請も必要ですし、ましてや外部記録媒体にも容易にダウンロードなんて出来ません。

 NTT西日本という大きな企業が、こういう事を10年間も許容していた事にも、私は驚きをかくせないんですよね。

 やはり情報セキュリティの仕組みは、しっかりと構築しておくべきだったのではないでしょうか。恐らくNTT系なので、仕組みは構築されていても、様々なところで仕組みが形骸化していたのではないかと推察してしまいます。

 私は業務形態として派遣社員なので、こういう事件を「元派遣社員が起こした」なんて言葉を聞くと、それはそれで胸が苦しく感じたりもします。正社員でない派遣社員なんて輩は、所詮、信用出来ないんだ。なんて言葉もどこからか聞こえて来てしまいそうですからね。

 しかしこの犯罪に手を染めた元派遣社員。どんな矜持で仕事をしていたんでしょうか。

 もうかなり昔の事になりますので、ここで少し書きますが、今から30年近く前に、私は「某大規模小売店舗」の顧客管理システムの開発を行っていました。正確にはシステムをカスタマイズする仕事を請け負っていたんですね。

 これがまあ、店舗内のネットワーク設計もまともにされていなければ、様々なアプリケーションを導入して全体としてチグハグなものだったので、良く様々なトラブルに見舞われていて、私は朝いちばんに呼び出されては、長い時にはシステム復旧の為に1週間、拉致に近い状態で客先に缶詰になっていたりもしました。

 この時扱っていた顧客数は一万件以上。氏名や住所、生年月日に電話番号などなど。それはとても「豪奢」な個人情報でした。そしてその個人情報に紐づく販売情報なんかも、有に100万件は超えていたのです。

 トラブルで小規模なものは現地で対応しましたが、どうしてもシステム根幹に関わる事は、一旦会社に持ち帰り、解析の後にシステムのアップデートを行う事にしていました。またその作業の為に、一応、お客様のシステム部の許可は貰って、顧客データは自社に持ち帰り、それを試験データとして利用していたりもしました。

 これはもう、今の時代では完全に「アウト!!」なのですが、当時はまだそれが許されたという、とてもユルユルの時代だったのです。

 こういった事は何も私の会社だけではなく、知り合いのソフトウェア開発会社でも、よくやっていた事なんですが、それでも今の様に「大規模個人情報の漏洩」なんてのは、少なくても私の周囲では起きていませんでした。確かに今の様に個人情報をセンシティブに扱うという社会風土では無かった時代でもあったのですが、私や私の周囲にいたエンジニアには「情報を扱うプロとしての矜持」を持っている人が多く居ました。

 だから当時なんて、個人情報を入れたUSBを見ながら「これを売ったら幾らになんのかな?」なんて冗談では言っていましたが、それを実行する人は、私の周囲ではいませんでしたし、プロジェクトが終了したら、借用した個人情報は残らず確実に破棄していました。

 まあそもそも「情報セキュリティ」というのは、それに関わる人達の「善意」に依る事なく、客観的に且つ冷徹な第三者目線で仕組みを構築し、場合によっては「性悪説」を基本として検討しなければならない事なんですが、やはり「情報を扱うエンジニアとしての矜持」というのは、昔に比べたら低くなってしまっているのでしょうか。

 もしそうであったのなら、それはそれで大変に寂しい話ではあるんですけどね。

 ちょっとこんな「戯言」の様な記事を書いてしまいました。お目汚しであったらご容赦を。

佐藤 洋之 2024/04/30 08:00:00 Comment(0)