被害者か加害者か
個人情報と言えば、ベネッセ社の顧客情報漏えい事件が記憶に新しい。この事件ではサービス利用者の名簿から約1千万件以上もの顧客データが流出し、流出したデータは主にダイレクトメール等に利用された。私のまわりでも当時はよく話題にのぼる話であったが、ほとんどがベネッセ社に対する辛らつな意見ばかりだった。ITの世界に身を投じる者として、この手の不祥事を見聞きするたびにいつも考えさせられることがある。それは「情報漏えいを起こした企業は、はたして被害者なのか加害者なのか」ということだ。
通常、企業は情報保全におけるガイドラインやコンプライアンスを規定し、情報漏えいを防ぐための努力を行っている。これらはITシステムが普及したことによって認識され始めたシステム運用における新たなコスト(リスク)だ。情報保全への取り組みは各社ともまだまだ経験が浅く、お世辞にも成熟しているとは言い難い。莫大な損害を被る危険性から情報セキュリティへの対策は急務となっているものの、資金力の乏しい中小企業などでは人的資源も金銭的資源も投入できる余裕がないというのが現状だろう。
この辺りの話は我々IT技術者にとっても非常に切実な問題である。なぜなら企業はシステムの安全性を担保するよう我々に求めてくるからだ。これに関して我々は、しばしば企業から「チェックリストに回答せよ」というような業務を依頼されることがある。チェックする項目は、もちろんシステムの安全性に関するものだ。実際にこの作業をやったことのある人ならわかると思うが、この手のリストを余すことなく記述するのは大変骨の折れる作業だ。各社まちまちではあるが、片手間であっという間にやり終えるようなものではない。肥大化したチェックリストは諸悪の根源だ。項目が多ければいいというわけでもないだろうに。特に大量の顧客データを保有しているであろう大手企業が相手だと、必ずと言っていいほどこの業務が発生する。受注のたびに同じようなリストを書かされるのだからたまったものではない。
私はこれまでにいくつかのチェックリストを見たり実際に回答したりしてきた。そこには企業の情報保全に関する取り組みの本気度や意識の高さが垣間見える。ハッキングや暗号化など、技術面の確認だけに終始するようなチェックリストはまだまだ不十分であり、急ごしらえ感が漂っている。パスワードの仕様をことさらに確認してくるようなものも時折見かけるが、どうも問題の本質からズレているような気がしてならない。もちろんそれはそれで重要な項目であることに間違いはないが、複雑なパスワードはとにかく利用者を疲弊させ、結局違うところからの原因で情報漏えいは起こってしまう。技術的に堅牢でありさえすれば万事安心だというわけでもない。やはり本当に重要なことはシステムに携わる人間そのものの方であり、日頃からの点検や監視、教育や訓練、そしてそれらを実施するための組織作りや責任者の明確化といった、作業者の日常的な取り組みの方にあると思う。このような体制面・運用面への確認もきちんと網羅されているものこそ、優れたチェックリストだと言えるだろう。
さて、話をベネッセに戻そう。ベネッセ社の顧客データは委託先の外部業者によって運用・保守されていた。「システムそのものは決して世の中の水準よりも脆弱だとは思っていない」と社長が会見で言っていたように、おそらくそれなりのチェックリストがこの外部業者とベネッセ社との間で取り交わされていたのだろう。にもかかわらず、顧客データの漏えいが起こってしまったのはなぜだろうか。それは、このチェックリスト(で確認される企業の取り組み)が、犯罪行為に手を染める内部の人間を食い止めるまでの効力を持っていないということに他ならない。要するに、現在の企業の取り組みでは情報漏えいを100%防止することなどできないのだ。誰も「漏えいは絶対にない」と言えないような今の状況を世間一般の人々は本当に正しく理解しているのだろうか。
私がこれまでに見てきたチェックリストにはベネッセ社の事件を阻止できるようなチェック項目はなかったと記憶している。そこにあるのはせいぜい社員教育の徹底や賠償請求の項目だけだ。正直言って、顧客データに直接触れることのできる担当者の悪意ある情報入手行為を完全に防ぐことは物理的に不可能なのではないかと私は思っている。社長の言葉にもあったが、最後の砦はその人自身の倫理観だ。チェックリストが倫理に関わる人間の行為を既定することはできない。
私はベネッセ社が被害者だと言うつもりはない。しかし現状のセキュリティ対策が依然として万全ではないことを知っている。現時点で漏えいを完全に止められない以上、必要なのは被害を最小限にとどめる施策であり、これについてはベネッセ社にも落ち度があったと思うし、我々の今後の課題となるだろう。
完全なシステムはない。完璧な人間などいない。人の倫理観を変えることは難しい。もし今回の事件について軽口を叩いているような人は、今すぐ自分の業務や自社のセキュリティ対策を思い返してみてほしい。そして同様の事件が自分の身に降りかかったとき、「自分は加害者だ」と公然と意思表示できるかをぜひとも考えてみてほしい。