前回は蔵から出しすぎ(笑)でご心配おかけしました。いろいろ行き違いがあってついうかつにも「暴露」しちゃいました。
 気を取り直して今週は、「内部犯行」について考えてみたいと思います。

 先日、クレジットカードに関する個人情報が漏洩しました。おそらく、あいかわらず人間のミスが原因となって起きる漏洩の方が件数としては多いのでしょうけど、900万人弱分の漏洩、というとまたインパクトが大きいですね。逆に言えば、ミスで漏れる場合よりも、故意に漏らす方が件数は多くなる傾向にありそうです。たくさんあればあるほど、入手できるお金が増える可能性がありますからね。
 内部犯行とは、内部のスタッフが、自身の今の待遇・環境を棒に振る可能性があるのにもかかわらず、積極的に漏洩させてしまう、ということです。つまり、犯人の中でのバランスシートが、やっちゃう方向に傾いた、ということですね。

 心のバランスシートはこんな感じでしょうか。
 おそらく、抑止力となりそうな要素を全く知らないわけではないでしょう。自分で言い訳、理屈、「対策」を考えて犯罪に突っ走ろうとしている、というわけです。

 犯罪に手を染めるような状況では、そもそもバランス感覚が失われているものです。あるいは「どうにでもなれ」というような破滅もいとわない心理状況に陥っているかもしれません。正直、破滅心理になっている人を止めることは困難です。しかし、その一歩手前、バランス感覚がまだ残っている人に対しては、抑止力されあれば思いとどまらせることが可能かもしれなません。

 では、抑止力となるのはどんなものでしょうか?

 どんな犯罪でもそうですが、「見ていない」「チェックされていない」と思うと、心理的なハードルは低くなるようです。そのためにこそログを残しておく必要があるのですが、抑止力として働かせるならただ取っているだけでは足りないでしょう。重要なのはその後のプロモーションだと思います。

 しかし、ただ「ログを取っている」とアナウンスしただけでは、ちょっと詳しければ「ログを取得するだけしていても、そんな大量の記録は事実上チェックできないだろう」と思ってしまうかもしれませんし、詳しくない人でも「ログを取られているからといって、普段からアクセスしているんだし、別にわからないだろう」などと思ってしまいそうですね。人は自分に都合よく捉えてしまいがちですし、そもそも犯罪的行為も辞さないくらい追い込まれているとしたら、多少の障害があったとしても実行してしまうでしょう。

 ここで少し戦略を考えてみましょう。
 個人情報を内部犯行から保護したいとき、警戒すべきなのは「データをごっそりダウンロードして売っちゃえ」という行為でしょう。もちろん、ほんのわずかなデータを長期にわたって盗まれることもインパクトがないわけではありませんが、まずはすぐにまとまったカネを手にしたいような人が犯罪に走ってしまうことを抑止する、そこを目標としてみましょう。

 ここで目を向けていただきたいのは「ごっそり」という部分ですね。「ごっそり」を言い換えると「急に大量のデータを手元に持ってくる行為」ということになります。量がまとまっていなければ、なかなかまとまった金額になりませんし、追い込まれている人は少しでも多くのカネが欲しいはずです。となるとその人にとっては「ごっそり」というのが重要になるわけです。
 もし、個人情報がデータベースに入っているのなら、データベースから大量の情報を引き出そうとする行為を捕捉できれば「ごっそり」に対応できるわけです。日常的に大量の情報を引き出す行為が行われているような環境では、そうした行為は「異常」にはなりませんが、そうでなければ「怪しい行為」として捕捉することができそうですね。

 捕捉できるようになったら、そういう行為が網に引っかかることを、広く十分に知らしめておく必要があるでしょう。捕捉する方法を詳しく事細かに明かす必要はありません。「50件以上一度に閲覧したら警告が各方面に飛びます」とでも言っておけばよいと思います。数字をいくつにするのが妥当かは、通常業務がどのように進められているか次第です。でも仮に50件が妥当な環境だとすると、バレないように1万件のデータを集めるには、200回以上のアクセスが必要になります。そうなると単に手間がかかるだけでなく、誰かがログ以外の手段でこの行為に気づく可能性も高くなるはずです。「そんなに仕事が詰まっているわけではないはずのに、どうも○○は残業が多い」といった具合です。それでなくてもそんな「大量」のアクセスを200回以上も積み重ねていれば、その“怪しさ”は何となくでも周囲に伝わってしまうものでしょうしね(50件なら50件のアクセスが「大量」になるようにしておくわけです)。こういう仕掛けはそれほど難しいことではありませんし、大量のログに埋もれてしまう懸念もなさそうです。
 あるいは、もっと簡単に一人がアクセス、ダウンロードできる個人情報の数の上限を決めておいて、それを超えたらメールで警告を出す、としておくだけでも良さそうです。そういう機械的な条件による警告をコンピュータにやらせることも、そんなに難しいことではありません。
 そして、管理側が仕掛けているさまざまな「警報装置」は決して「難しくない」し、「誰でも簡単にすぐ気づける」ものであるということを、関係者すべてに知ってもらうことが重要です。あ、これは盗み出すことが厳しいな、という認識を持ってもらうこと、それこそが抑止力になるというわけです。

 「軍備」みたいなものから見ればいささか地味(笑)ではありますが、こういうことを積み重ねて、全体として「内部犯行は難しい」と思わせることが重要ではないでしょうか。