こんにちは、あのにますです。
2022年6月23日、あるニュースに日本中が騒然となりました。
色々な経緯がありますが、ざっくり経緯をまとめると
・尼崎市が業務委託していた業者の社員が市民46万人余りの個人情報が入ったUSBメモリを紛失した
・業者は作業のため、市の許可を得ずUSBメモリに個人情報を入れていた
・USBメモリは鞄に入れていたが、飲食店で酒を飲み泥酔した結果、鞄ごと紛失した
となっており、かなり重大な事件となっています。
事件の詳細様々なメディアで報道されているので触れません。
そこで今回は「信用で成り立つ運用(ルール)はもはや通用しない」ことを事件から痛感した、というお話をしていきたいと思います。
最大の問題点
今回の事件で最も問題だったのは
「市の許可を得ず、USBメモリに個人情報を入れた」
ことだと思っています。
そもそも、自社PCへのUSBメモリ接続自体を禁止にしている企業は多いです。
仮に接続を許可していた場合でも、あくまで許可は自社の一部社員に絞り、委託先の業者に権限を与えることはほぼないのではないかと思っています。
尼崎市もその例に漏れず、接続禁止の旨は業者に伝えていたようですが、それでも今回の事件が起こってしまいました。
原因は?
簡単に言えば「市は『きちんとルールを伝えておけば守ってくれるはず』という性善説に基づいた管理を行っていたから」に他ならないと考えています。
セキュリティに厳しい企業であれば、USBメモリ等の情報流出に繋がりかねない電子機器の持ち込みは極力制限しており、対策として「セキュリティゲートをつける」「持込物を制限する」といった対策を行っています。いわゆるリスクマネジメントの一環ですね。
しかし、これまでの報道を見る限り、尼崎市が上記のような対策を行っていた声は聞こえてきません。
恐らく、実際もやっていないものと思われます。何故でしょうか?
これは、市が業者の信用に頼った運用を行っていたからだと思われます。
尼崎市としては「禁止と言っておいたから守ってくれるはず」という性善説に則った考えの元、業務委託を行っていたのでしょう。
ただ、性善説で組み上げられた「緩い」運用は、とっくの昔に限界に来ていたのです。
過去の事例
こちらのニュースを覚えていますでしょうか?
2014年に起きたベネッセホールディングスの個人情報流出事件です。
この事件は、流出経緯が今回の事件と似通っています。
・加害者が業務委託先の業者の社員だった
・USBケーブルを用いて私用スマホにデータをコピーしていた
加害者が「情報の転売」を目的として情報をコピーしていた点は異なりますが、それ以外の点については似通う部分が多いのがわかるかと思います。
また、事件後の調査によって、ベネッセのセキュリティについて
「管理者の許可がない限り、外部メディア(USBメモリ等)によるデータの持ち出しは禁止」
であったことが判明しています。
ベネッセは上記禁止ルールを定める一方、上で挙げたセキュリティゲートや持込物規制といった対策は行っていませんでした。これも尼崎市の事件と似通っていますね。
何が言いたいかというと「今回の事件のリスクは2014年の時点で予測されていた」ということです。
2014年の時点で、信用に基づいたルールでは情報流出のリスクを抑えることができなくなっていた(実際に流出した)。にも関わらず、尼崎市は2022年でも同様のルールで業務を行っており、結果8年前と似通った事件を起こしてしまった。
前例があるにも関わらず対応を怠っていたという点で、尼崎市の管理責任を追求されても仕方ないでしょう。
悲しいことだが…
厳しい言い方かもしれませんが、性善説に則った運用では、今回の尼崎市のような事件は防げなくなっています。
今回の事件は数々の情報管理上の不手際が重なった結果起こりました。
ただ、下記の1つでも守られていれば、ここまで大事にはならなかったはずです。
USBメモリにデータを入れていなければ…
USBメモリからデータを消していれば…
USBメモリを鞄に入れていなければ…
USBメモリを入れた鞄を持ったまま飲食店に行かなければ…
路上で寝てしまうほど泥酔しなければ…
上記の内容は専門的な知識がなくても守れることです。
新入社員でも、学生でも守れる内容でしょう。
専門知識がいるわけではありません。気をつければいいだけです。
ただ「気をつけてくださいね」ではもう駄目なのです。
何故か?「気をつけられないことがある」からです。
「気をつけてください」と言った人は「相手は気をつけてくれるだろう」と期待します。
実際、ほとんどの人はその期待どおりに動くでしょう。
しかし、その期待に応えられないどころか、期待を裏切るような行為を行う人もいるのです。今回の事件の元凶のような人が好例です。
だからこそルールを決める際は「運用」で縛り付ける必要があるのです。
利便性は下がるでしょう。厳しさに不満を訴える社員もいるかもしれません。
でも仕方がないのです。なぜなら「事件が起こるリスクがあるから」
リスクは「気をつける」だけでは永遠に無くなりません。
無くすには運用で締め付けるしかないのです。
最後に
信用の上に成り立つ関係は、世の中にたくさんあると思います。
ただし、信用に頼ったルールは、多分にリスクを孕んだものであり、現代において続けるべきではない、ということもまた、肝に応じないといけないと感じました。
それでは。