動かないコンピュータForum

第49回 問題の本質は非IT、最後は罰則強化か

動かないコンピュータ・フォーラム 主宰者 中村 建助=日経コンピュータ編集
日経コンピュータを読む理由No.1 「動かないコンピュータ」連載が単行本になりました。全国の書店でお求めいただけます。
フォーラムの主旨と参加ルールへフォーラム・トップへ

 今回もみなさんから、有用なご意見を頂きました。ありがとうございました。情報流出・漏洩を巡る問題は簡単には解決しそうにありません。ITだけで問題を解決することもできません。いただいたご意見も単にITを利用した解決策でなく、情報流出・漏洩に関する罰則の強化にまで触れたものが多かったように思います。

実際に、個人情報の流出・漏洩は続いています。4月にも、コスモ石油や日本信販といった大企業が相次いで、自社で管理する顧客情報が流出したことを明らかにしました。

 タイムリーなテーマのせいか、今回もたくさんのご意見をいただいています。4月5日には3件のご意見をいただきました。

 最初のご意見は、ネットの普及などによるによる社会のIT化が個人情報の流出・漏洩の問題を大きくしているというものです。


 まず、インターネットや情報システムの開発に関する不安を取り除くのが先決ではないか、と思う。現在、電車や車の中での置忘れや置き引きも含めて、情報漏洩・流出といわれるが、そもそも、そういった問題は以前から起きていたものだ。

 今更ながらそういった問題が騒がれるのは、日々入る迷惑な勧誘電話やスパムメールといった迷惑行為の横行やネットオークションでの詐欺行為など、インターネットを背景に起きる事件に不安感があるためではないだろうか。こういったインターネットにまつわる不安、不信を取り除かない限り、問題は解消しない。そのための努力は十分に払うべきである。

 また、管理や罰則の強化だけでは、従業員や下請けの背任行為を無くすことはできず、かえって反感を招き、手口が巧妙になるだけだろう。背任を招く背景を探り、十分な手当てを行うことが重要だと考える。どうも私には企業の家族化の崩壊が背景にあるように思えるのだが、いかがなものか。

(40代,システム・インテグレーター,システムエンジニア)

 このご意見を読みながら、カード会社のシステムを開発した経験のあるシステム・インテグレータのOBと個人情報につい話したときに聞いた言葉を思い出しました。内容はこうです。

 「以前なら重要でなかった情報がどんどん意味を持つようになっている。以前ならクレジットカードの暗証番号は重要に管理すべきだが、カード番号そのものは漏れてもあまり意味のない情報だと思っていたが、今ではカード番号が漏れただけでショッピングで悪用される可能性もある。どんどん守らなければならない情報が増えている」。

 インターネットや情報システムにまつわる不安を取り除くことが大切ではないかとのご指摘がありますが、実際の社会はむしろ反対の方向に向かっているのかもしれません。

 4月5日にいただいた2件目のご意見は次のようなものです。


 ソフトバンクの孫氏も言っていたコメントだが、性悪説で対応せざるを得ないだろう。人であるがゆえに魔が差すこともある。それをどう防止するかとなると、結局は情報取扱いに関しては誰も信じるな。管理者となったものがすべての責任を負える体制とするべき、となってしまうのは仕方が無いことだとおもう。

 日本人としてはこんな風に考えなくてはならないのは、寂しく悲しいことではあるが、信用を裏切る人が潜在的にいる以上は、監視の目を厳しくし、法律で罰せられないのなら、社内規範で厳しく罰するような体制をしくのが、漏洩に対する最速の対応だと考える。

(30代,システム・インテグレーター,情報システム部門)

 「寂しく悲しいことではあるが」情報の流出や漏洩を防ぐには、管理の強化が欠かせない、というご意見です。セキュリティについての取り組みをまとめた、セキュリティ・ポリシーを策定した企業の数は増えていますが、社内規定と連動させるなどして具体的な罰則まで定めている企業はまだ多くありません。

 社内規定を改訂するとなると、単に情報システム部門だけではなく法務部門なども関係することになります。こういった社内調整を迅速に進めることも、今の企業には求められています。

 4月5日の最後のご意見は、情報流出・漏洩の問題には、さまざまな要素が関係していることを指摘されたものです。


 社会経済、技術革新、消費者意識の急速な変化に対して政治、行政、企業、監査機関、大学、マスコミの対応は鈍く危機的状況になるまで真剣に論じられることはなかった。問題についての事実認識と十分な議論なしに企業の社会的責任とITのリスクという面だけ報道しているようでは解決できない。

 この問題は環境問題と同様に複眼的な視点で捉える必要がある。環境問題は資源の消費と環境破壊をバランスすることが人類の継続的発展に必要という認識から出発している。この問題も同様に個人情報の利用は社会経済の生産性向上と基本的人権をバランスさせることが資本主義の発展に必要であるという認識があるからでありこの視点において新たな社会・経済システムの構築に必要な対策のあり方を包括的に論じる必要がある。

 単純なITの投資対効果やリスクマネジメントという観点では問題および対策を矮小化する恐れがある。ISMS、Pマーク等の認証規格も企業個別の自衛策としては一定の効果はあるがこれはリスクを個人(消費者、従業員)と企業が明示的にシェアすることを宣言したに過ぎない。この問題を自分自身の問題として消費者の立場で論ずることがIT産業の発展にも必要と思われる。

(30代,ハード・ソフトベンダー,コンサルタント)

 情報流出・漏洩の問題が、今や社会的に大きな問題になっているということはご指摘の通りです。一方で、情報流出・漏洩を知った企業の責任の取り方はまだ確立していないように思います。

 情報が流出・漏洩した以上、内部における情報管理を徹底するということは、どのような会社でも合意ができているのでしょうが、情報が流出した個人に対して企業がどうすべきなのかについては、まだ明確な基準はありません。すべての個人に対して一定金額を賠償したり、一定期間の間、営業活動を自粛すれば責任を果たしたことになるのか、あるいはこういったことをする必要はないのか、についても明確な基準はありません。

 たとえば、1999年に住民票データが流出した京都府宇治市では、情報が流出した個人に対して1万5000円を支払うことが、裁判を経て確定しました。だからといって、1万5000円が相場になっているわけではありません。

 個人情報が流出・漏洩しても、いっさいお金を支払わず、お詫びの手紙を送付しただけの企業もあります。お金を支払った企業でも、その金額は500円、1000円、2000円など対応は各社でバラバラです。

 世界的に見ても、この問題に対する基準はないようです。Yahoo!BBの利用者を中心とする450万人超の個人情報流出を経験したソフトバンクBBは、Yahoo!BBの全利用者に対してメール・アドレスの変更を認めるとともに、Yahoo!BB関連で情報が漏れた可能性のあるすべての人間に500円の金権を送付しました。記者発表で「送付金額が少ないのではないか」という指摘を受けた、ソフトバンクBBの孫正義社長は、「海外では、個人情報が流出・漏洩したからといって、お金を支払う例はまずないという指摘を、取締役から受けた」と答えています。

 4月6日には、2件のご意見を頂きました。最初のご意見は、やはり情報流出・漏洩を減らすためには、重い罰則が求められるのではないか、というものです。


 この件に関しては、残念ながら、個人情報を漏洩した人と流通させた人の処罰・罰則を大きくするしか方法が無いと思う。PマークやISMSにしても、漏れないような方策をとるだけであり、漏れないと確約できるものでもない。

 また、漏れた情報が横に流れていく状況も防ぐことができない。流れる先が裏社会の場合も多いのだから。残念だが、罰を大きくして心理的なブレーキを持たせるしか方法は無いと信じる。単純な盗難レベルの刑罰ではなく、もっと重い罪に問うべきと思う。

(30代,システム・インテグレーター,システムエンジニア)

 実際に情報流出・漏洩が起きた企業や、それにかかわったITベンダーにはセキュリティや個人情報の保護に関する規格を取得している企業がありました。それでも、情報は漏れました。

 これらの企業では、日常の業務の効率性を優先したりするなかで、いつの間にかセキュリティがおろそかになって情報が漏れてしまった、といった事実があったようです。厳罰は確かに、こういった気の緩みとでもいうべき状況を変えるのに有効かもしれません。

 一方である大手ITベンダー幹部は、、「日本では、情報の管理だけに限らずシステムの運用全般について、どこにどういった問題が発生しやすいかをあらかじめ把握しておいて、その問題に対する策を実行していく企業が少ない」と話しています。情報流出・漏洩の続出は、システム運用全般に対する問題を提起しているのかもしれません。

 もう一つのご意見はこのようなものです。


 法もそうだが情報はタダという基本概念があるのではないだろうか。情報を収集、生成するためにかかった対価などに照らして窃盗罪を適用するなら不正コピーソフトなども著作権法ではなく窃盗罪で裁けるはずだろう。

 世界的な問題ではあるが日本では特にサービスのような無形物に価値を認めないところがあるように感じる。情報に金銭的価値を認めるなら保有者も鍵をかける、金庫に入れる、入室管理するというのと同等の対策が必要と自ずとなってゆくはずだろう。

(40代,ユーザー企業,情報システム部門)

 4月27日、顧客情報の流出を経験したアッカ・ネットワークスが、自社の情報流出の内部調査の結果を報告しました。同社は、外部からセキュリティの専門家を招くなど必死で調査しましたが、結果は「犯人は社員か派遣社員、でも特定できず」というものです。

 アッカに限らず、情報の流出・漏洩を経験した多くの企業が具体的な情報の流出・漏洩の経路を特定できていません。もちろん、流出させた人物も見つかっていません。この事実からは、「情報を守る」ということに対して企業がどのように取り組んでいるのかということを、改めて考えさせられます。

 いささか長くなってしまいましたので、今回の総括はここまでにします。残りのご意見に対する総括編は近々に公開します。