オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

続:三菱UFJ証券の情報漏洩に「情けなさ」を感じた。犯行報酬30万円の代償

»

今朝の産経新聞の朝刊には、3面にもわたる記事で事件が大きく取り上げられていました。30万円の報酬と引き替えた代償は、あまりにも大きいものだと考えます。Web版の産経新聞はこちらからどうぞ。

30万円で売却された顧客情報、売っぱらった社員は、これっぽっちも何とも思っていないだろう。それは30万円の金銭的価値は30万円だからです。

何もしていないのに、自分の情報を開示した会社の管理体制の不備という身勝手な状況で、自分の情報が売られ、知らないところからDMや連絡が来るようになった。顧客側からすれば、30万って金額に怒りがこみ上げて来るでしょう。自分たちの情報がこの程度の金額で売買されているのだから。

証券会社や金融機関に限らず、それなりのセンシティブな情報を扱う企業は、顧客情報に限らず、機密情報も含めて、情報を持っている。持っている限り、漏洩する可能性があるのです。

絶対に情報漏洩しないのは、漏れる情報そのものを持っていない限り、あり得ないのです。

私の勝手な意見ですが、余罪も多いのでは?と思ってしまいます。

これ、Winnyなどの暴露ウィルスで、売っぱらった社員の個人的な情報だけが漏れたのならば、「あーあ、漏れちゃったのね」で済みます。自己責任って範囲はここまでだと思うのです。

預かっている顧客情報や、企業間で持っている機密情報なども、1企業だけのものではありません。

個人情報を記載する場所には、必ず「その目的以外は。。。使いません」って、書いてあります。書くだけならば誰にでも出来るのでしょうか? 書く責任ってものを強く意識しなければなりません。企業の責任です。

一方で、三菱UFJ証券の被った損失は、30万円では済まないのは明白です。桁がいくつ増えるのでしょう?しかし、桁が増えるのは、自らが管理しきれなかったことと反比例な関係です。

同じような問題は、どこの企業でも起きるのです。「うちは大丈夫」なんて、寝ぼけたことを言っている状況と時代ではないのです。

市川さんの書かれた職業倫理観の欠如

事件を起こした当事者がたどる末路を、企業では社員に対してどの様に知らしめているのでしょうか?

という部分、共感しました。ここがイメージ出来ていない限り、企業も社員もなにもわからないのでしょう。

今回の、売っぱらった社員の人も、ここが鮮明にイメージ出来ていれば、30万円に見合うことでない。ことがわかったと思うのです。

機密情報の金銭的価値は中身により大きく変わるでしょうが、顧客情報の今回漏洩した範囲は、この程度の金額にしかならないことを学習したのです。これらが鮮明にイメージできていれば、今回のような事件が、如何に見合わないものなのか。。。だけでもわかったのではないでしょうか?

そもそも、見合うとか、見合わないとかの問題ではないのですが、倫理のないところには、別なモノサシを当てるしか方法はありません。

それでも、情報を持ち出しますか?

Comment(8)