オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

情報流出した”その時点”の情報と”その後に利用される”情報の責任範囲

»

最近も大型大量の情報流出がありましたね。これ何度も同じこと言ってきましたが、量の問題ではありません。1人の情報でもその人がイヤだと思う情報であれば「もう充分」なのです。量とか書くとじゃあ質か?みたいな話になったことがありますが、量とか質とか「流出情報」は量り売りの肉じゃないのだから、そんな単位では計れません。

で、漏洩のニュースを見るたびに「最近」違和感を覚えます。何かが変、それなんだろう?と。。。

ホントに当事者なの?

標的型メール攻撃とかは、内部から発生した問題や内部犯行の持ち出しとかと違うことになりますが、情報が漏れてしまった方々からすれば、そこは大きな問題ではありません。どっちもしても結局漏れる(漏れた)のですから・・・

しかし、すごーく違和感を感じるのは、

・標的型メール攻撃の予行演習はしていた

・普段の業務でもあるメールと同じだった

・発生源は外部からだった

のような部分です。もちろん避けようがないほどのものもあったでしょうが、情報漏えいや流出事件の内部発生は管理責任が大きく生じて、外部からの。。。みたいな感じがしてなりません。

内部発生の代表的なものは、ベネッセの顧客情報漏洩に思う「大きな勘違い」/ ベネッセの思う「重要でない情報」を7つのケースで考える このあたりを参照ください。

やはり他人事か?

問題が起きてから、後出しじゃんけんのようにいくらでも言える事は多くあるのかもしれません。批判も必要ですが、次に起きにくい方法を皆が学ぶ機会にしなければ意味がなくなってしまうと考えます。

なかなか書きにくい話も多くありますが、事件起こした当事者なのに「喉元過ぎれば熱さを忘れる」的な、それ間違いなく火傷しますよ!ってものを飲み込まれることが目の前で信じられないほどに起きるのですw これ決して笑えることではありませんが、笑うしかないほどの信じがたい状況があり、その先は熱さ忘れるのに、その前は大騒ぎしてましたよね?なことが実際に起きると、他人事なのか?と思うしかない。そう納得するしかないことがあるのです。

その熱かった時には、コンプライアンスがどうのこうの・・・とか言っていたはずだったもの、大騒ぎまでしていたはずだったのに、収束すると何処かの政治家のような「記憶になくなってしまう・・・」ようなことになる。

コンプライアンスって面白いことを言うときに使うものなのか、笑いの神が降りてきたときのネタなのかと思ってしまうのです。

情報は成長する、その責任は誰が?

例えば個人情報の場合、そこまで神経質にならなくてもいいのでは?と思うほど敏感になっています。

一方で無責任な管理から漏れた情報が勝手に二次三次な利用がされ、さらに無責任な扱いになっていきます。

例えば、成人式の貸衣装や写真なんかのDMが溢れるほど届いたり、日に何件も電話勧誘がかかってくる。土日だけでもこんなにあるのは「かなり迷惑」なことなのですが、毎回二度と電話しないように・・・と言っても、ほかの業者から連絡がくるので「巣ごと撃退する」ようなゴキブリ駆除と同等のことをしないと意味がないようです。

まだうるさく迷惑なだけで済んでますが、

 この情報って何処かの段階から生年月日の情報を経て、情報が成長しているもの

です。

以前のブログにも書きましたが、家庭環境の変化や何らかの事情で今は居ないとか…情報が漏れた直後のより現状に近いホットな状況と、その時の情報を元にして数字上で成長した(はず)の情報は大きく変わっているのですが・・・

無責任な情報の使い方をするのには、あまり関係ないようです。そもそも数打って当たればいい!ので責任もくそもないでしょう。

もしも、亡くなっていたら。無責任に情報を扱われ、えぐるような部分に触れる。誰がそんなことをしていいのか?と。極論な言い方なので、どれほどの確率かわかりませんが、ここまで極端な状況でなくとも、誰にも触れられたくないことに違いはありません。

情報が漏れると「金券」とか…後に出来ることに限りがありますが、漏れた後の莫大な責任までを真剣に考えれば、もう少し違ったことになると思います。

Comment(0)