情報漏えいに考える(柄にもなく)
現在ホットトピックに挙がっている通り、オルタナブロガーの皆さんも多数コメントなさっている、三菱UFJ証券の情報漏えい事件。
一通り皆さんの記事を拝見しながら、一番共感したのは成迫さんの記事だった。システム上のファイル操作も簡単に出来ないように規制してあったわけだし、砂金さんがご指摘のように、事故が起こったら速やかに顧客に連絡が行くようになっている。もちろん、上には上があるとか、いや、縛るとかえって、とか、情報セキュリティ上の議論の余地はたくさんあるんだろうと思うが、拝見した限りで、相当念が入った運用体制のようにお見受けした。
問題は、それでも、責任者級が漏らそうと思えば、漏らすことができる、というのが、ポイントだったのではないかと思う。
砂金さんは、クラウドにすればデータと人の接点が少なくて案外問題ないのでは?とおっしゃっていて、これを読んだ第一印象は、「そうは言っても社内の誰かは、その情報を顧客情報として元の形で扱っているから、意味ないのでは」というものだったが、産経の記事など読みながら、案外的を射ているのかも、と思った。情報システム部門は情報システムのお守りをすればよくて、情報そのもののお守りをする必要はないかもしれない。そういうアーキテクチャを導入することは、そんなに難しくはないのでは?
とは思ったが、それにしても、顧客情報を元の形で扱う人は残るわけで、その人が規制をかいくぐってデータを得れば同じことである。
この元部長代理は規制の熟知してその抜け穴を知っており、規制されていることをもちろん知りながら、顧客情報を抜き出した、つまり、やってはいけないことであることは知っていたわけである。僕の発想力が貧困なのか、この部長代理がそれでも顧客情報抜き出しを決意した理由はこれしか考えられない。 - 「バレないだろう」
バレなきゃなんでもやっていいのか、なんて議論は不毛で、情けない。小本さんご指摘のように社内コミュニケーションが十分に取れていれば、起こりにくくなる問題なのかもしれない。
会社側は刑事告訴の準備を進めているという(借金で首が回らないなら、民事で損害賠償に打って出ても辛いかもしれない)。どんな罪状になるか分からないのだが、ここは世間があっと驚くくらいの重い刑事罰を期待してしまう。抑止力になるというのも効果だが、それ以上に、今の社会で決してやってはならないことだというメッセージを発することが重要かと。