つれづれなる日記 @ maoo.jp

退屈な日々をより退屈な文章でだらだらと

お手本となるのは今だ

コンピュータ セキュリティ
関連
http://d.hatena.ne.jp/maoo/20090109/1231498092 http://d.hatena.ne.jp/maoo/20090119/1232379577 http://d.hatena.ne.jp/maoo/20090125/1232903499

暴露の歴史がまた一ページ

 P2Pソフトウェアとコンピューターウイルスの組み合わせにより様々な情報が意図せず公開されてしまった、などということは近年わりとよくある悲劇ではある。ただし今回は

IPA独立行政法人 情報処理推進機構)は4日、IPA職員が自宅の私物パソコンでファイル交換ソフトを使用した結果ウイルスに感染し、PC内の情報を流出させたと発表した。

IPA職員がファイル交換ソフトでウイルスに感染、写真など流出

IPA(独立行政法人 情報処理推進機構)*1の職員さんがそれをやっちゃったということで。あんたらはそういう方面の専門家じゃなかったのかい、というわけで、その意味では失笑されるような事態ではある。
 とはいえ、この組織のただの職員というのは一般企業の普通の会社員とあまり違わないとも思える。コンピューター関係の仕事を行うのに必要な免許などはないわけで、警官や医師などとは立場的にはっきりと違う。一応は国家資格たる「情報処理技術者試験*2なんてものはあるけど*3、これは業務独占資格でも必置資格でもなく名称独占資格ですらない。これがあってもなくても、そういう仕事ができるかどうかには無関係だ*4

世間によくある再発防止計画

 さてこの件に関しては当該組織からも情報が公開され、再発防止についても言及しているわけだが

職員の私物パソコンにおけるファイル交換ソフトの使用を禁止するなど、再発の防止に全力を尽くしてまいります。

http://www.ipa.go.jp/about/oshirase/20090104.html

また私物PCについては私的な領域のためファイル交換ソフトの使用は推奨しないという通達にとどめていたが、今回の件を受けて職員の私物PCについてもファイル交換ソフトの使用を禁止することにしたと説明した。

IPAが職員の情報流出で会見、過去の勤務先の業務情報も流出

これは過去にもわりとよく発表されているポピュラーな対処法の一つであるように思える。こういう内容って、以前の事例のそれをたっぷりと真似する風習みたいなものがあると個人的には思うのだが、どうか。微妙に違う部分がありつつみんな似たような発表をしているように思えてならない。本当にちゃんとその組織で考えたのかなと、ついつい疑ってしまう。
 そしてこの内容はまったく正しくないと思う。推奨しないのはまったく問題ないが、禁止するというのはかなりの問題だろう。

個人に対する組織の支配

 個人の私物にそんな干渉をする権利が、たとえばIPAさんのようなただの組織なりにそもそもあるものなのか? ある個人が自分の金で購入した自分の部屋にある自分の所有する自分のコンピューターをどんなOSとどんなソフトウェアでどんな時にどんなふうに利用しようが、それはまったくその個人の自由であるはずであって、所属組織がそれについて指図できるものだとする思考はまったく理解不能である。
 あまつさえ発表ではこんなことを明言されているようで

職員に私物PCでファイル共有ソフトウェアを使用しないことを誓約する文書の提出を求めるとしている。

他企業の情報流出の可能性も、IPAが漏えい事件を経過報告 - ITmedia エンタープライズ

こんなふうにあまりにどうどうとされると、なんだか自分の考えに自信がなくなってくるが。誓約ねえ。これってなにものなんだろう。法的な根拠なりがあるものなのか?
 ここでちょっと具体的に誓約とやらに関して考えてみると

  1. (所属している個人に対して一般的組織が)誓約する文書の提出を求める行為について
    • 要求することそのものに問題はないのか
    • 要求にはどの程度の強制力があるのか
  2. (所属している個人に対して一般的組織が)誓約したかどうかで扱いを変化させる行為について
    • 要求に従わなかった個人をどう扱うのか(罰則なりがあっても許されるのか)
    • 要求に従ったかどうかを給与や待遇に反映させた場合には問題とならないのか
    • 要求に従っていたかどうかを漏洩なりが発生した際の個人への処分内容に影響させるような行為に問題はないのか

いろいろと不明な点がある。本当にやっていいようなことなのか、これ。なんとしても誓約させておいて、いざ漏洩なりが発生した時に「組織としては事前にそのような行為の禁止を個人に徹底して誓約までさせた(だから組織はやるべきことをやったしこっちの責任ではないどころか我々もだまされた被害者のようなものなんですよ)」という主張をしたいだけなのではないか、とか思えてならないんだが。
 どうあれ、個人の所有物をその個人が所属する組織が支配できるものと考えられる理由はおよそ見当たらない。それにもかかわらずこういう発表内容になるのはどうしてだろうか。個人の責任は所属している組織に及ぶと感じているから…というより、そのように考えているのだと姿勢をアピールしないと世間から批判されそうだからとりあえずそうしているだけ、という気もする。

個人と組織の境界線

 とはいえこういう問題においては、個人とその所属する組織を単純に分離できない部分がたしかにある。情報である。わざわざその点についてアナウンスしているが

詳細については引き続き調査中だが、IPAの業務関連の非公開情報の流出は現在までのところ確認されていないという。

IPA職員がファイル交換ソフトでウイルスに感染、写真など流出

所属組織に関する公開されるべきでない情報がかかわってくる場合、組織は無関係ではいられない。だからその意味で、組織はこのような事態になる前の段階からなんらかの対処が必要であると認識し実行すべきなのだ。そこまでは多くの方が気付いていると思うのだが、正しいことをやっているかどうかは個人的にかなり疑わしく思える。
 組織がこのような問題について心配したり管理したりするにふさわしいようなことといえば、違法行為をするようなとんでもない人間を雇ったりしないようにすることなどを除けば、ふさわしい防止策を考え実行するとか、個人に教育を行い関連する知識を与えるとか、そういった方面のことなのではないか。完全ではないかもしれないが、それはすでに行われたり行う予定があったりするようで

IPAは、情報漏えい対策として以前から私物のPCや記録媒体の持ち込み、業務データの外部への持ち出しを禁止していた。持ち出しが必要な場合は、IPAが所有する機器を利用して上長や情報システム部門が承認するプロセスを導入していた。

他企業の情報流出の可能性も、IPAが漏えい事件を経過報告 - ITmedia エンタープライズ

全職員に対しての研修なども検討していくという。

IPAが職員の情報流出で会見、過去の勤務先の業務情報も流出

こういうのが正しいと思うんだけどね。
 世間によくある一般的な企業の方面のことについて考えてみれば、企業が個人のコンピューターをあてにしている正しくない状況はわりとよくあると思う。データを持ち帰って家で仕事をしてくれることはむしろ歓迎するとか、あるいはあえて明言はしないが暗黙のうちにそうすることを要求するようなこともあるだろう*5。残業代を支払わなくていいし会社の資産の消費を少なくできる、なんてね。こういう場合と比較するなら、上記の対策はかなりきちんとしていると思う。

罪と罰

 さて個人に自由があるとはいえ、もちろん違法行為については問題であり

同職員は、ファイル交換ソフトを通じてかな漢字変換ソフトやわいせつ画像をダウンロードしていたという。

IPA職員の情報流出は1万6000件 「Winny」「Share」でわいせつ画像など入手 - ITmedia NEWS

当該PCのファイル交換ソフトの検索キーワードとしては、かな漢字変換ソフト(ATOKATOK Pocket、ATOK Mobile)や、児童わいせつ画像を含むわいせつ画像に関するキーワードが設定されており、その一部については実際にダウンロードしていたことが確認されたという。

IPAが職員の情報流出で会見、過去の勤務先の業務情報も流出

そういうことはやっちゃ駄目なわけであるが、これらに関してはあとは警察とかの出番なのである。
 ではその個人が所属している組織はなにをするのかというと

また、当該職員への処分については、流出情報の全容が判明した時点で決定するとしている。

IPAが職員の情報流出で会見、過去の勤務先の業務情報も流出

ということのようで、つまりなんらかの処分がありそうに思える。
 ここでちょっと考えこんでしまったのだが、もしも今回の件でIPAさんに関する情報がなにも漏洩していなかったとしたらどうだろう? 個人は直接的に組織に被害を発生させていないわけで、しかし(組織の特性も考えれば)世間からの信用を(その程度はともかく)失わせてしまうような間接的な被害を発生させてしまったわけだ。そのような場合、組織はどの程度まで個人を処罰するようなことが妥当であり許されるものであるのだろうか、と。

きっとみんなが真似をする

 今までこういうことはあちこちで発生していたし、これからも同じようなことはまだ発生するだろう。だからこそ、このような方面において他を啓蒙するべき立場にある組織で発生した今回の件の影響は、すぐに少なからず出てくるのではないか。具体的には、今回発表された再発防止策が考えなしに真似され、いろいろな組織で「まずは今すぐ社員(職員)に誓約をさせろ」みたいな変なスタンダードが確立されてしまう危険性がありそうで、なんだかものすごくいやな予感が。
 つまり今回の件の影響力はけっこう大きそうに思え、だから本件では正しいことをきっちりと行ってそれをはっきりと公表していただきたいものだと思う。IPAさんにとってはたしかに不名誉な事件ではあったろうが、ここから上手にやればすばらしい啓蒙活動ができるいい機会を得たことになるじゃないか。自分達の行動が真似をされる可能性をきちんと認識して、がんばっていただきたい。で、とりあえず、禁止するとか誓約させるとかって賢くなさそうな行為はやめていただけませんかね。

*1:参考 IPA 独立行政法人 情報処理推進機構

*2:参考 http://www.jitec.ipa.go.jp/

*3:しかも管理しているのはIPAさんであったりする。

*4:笑ったのは、ここの職員になるための応募条件の中でこの試験で合格していることが求められていたこと。なんだかなあ。

*5:なんでって? そりゃあ問題となった時なんかに「データの持ち出しは社員が *勝手に* やったことであり指示はしていません」「当人が *自主的に* 自宅で作業をしていただけであり強制はしていません」みたいな理屈で責任を回避するためにきまっているじゃないか。