関連

http://d.hatena.ne.jp/maoo/20090107/1231367184 http://d.hatena.ne.jp/maoo/20090109/1231498092 http://d.hatena.ne.jp/maoo/20090125/1232903499

　さて、IPA職員さんの例の情報漏洩の一件であるが

職員が私物PCでファイル交換ソフトを使用してウイルスに感染し、情報を流出させた問題で、IPAの信用を傷つけ、名誉を汚したとして、同職員を停職3カ月の懲戒処分にした。
…
職員の私物PCでのファイル交換ソフト使用を禁止し、職員に使用していない旨を記載した報告書を提出させることも決めた。

IPA職員に停職3カ月の懲戒処分 「Winny」「Share」情報流出で - ITmedia NEWS

処分が決定したとのことだ。停職という処分とその期間が妥当なものであるのかどうかはわからないが、きっと組織によっても考え方に差があるものなのだろうし、外部の人間が簡単に判断できるようなものでもないのだろう。
　ただ

非公開情報の流出は確認されていないという。
…
職員の私物PCにおけるファイル交換ソフトの使用を禁止し、ファイル交換ソフトをインストールしていない旨の報告書を提出させるほか、技術面での防止策も検討する。

情報流出のIPA職員、停職3カ月の懲戒処分

この処分はやはり、組織への間接的な被害(つまりここで表現されているような組織の「信用」や「名誉」などへの悪影響)というものを考慮し決定されたものであるように思われる。もしもこの組織の非公開情報などが漏洩していたとすれば、それは直接的な被害があったことになるのだから、その場合の処分の内容は今回とはかなり違ったものになったのではないだろうか。
　それはともかく、以前は「誓約する文書の提出を求める」だったのが「報告書を提出させる」という言葉に変化したのがものすごくひっかかるな。これ、「やらないことを約束しろ」から「やってないことを報告しろ」へ、ある意味でより強硬な態度に変化しているんだよね。しつこいようだが、たかが一般的な組織が所属する個人にそこまでの強制をする権利があるものとは考えにくい。ぜひ専門家のご意見を知りたいものだ*1。
　根拠もなにもないがまずは強制やら制約やらをしてみる(ひっかかってくれたらラッキー)*2、というのは、実は世の中にけっこうよくあることだと思う。本件のこれもまさにそういうものなんじゃないか。なんの疑問も感じなかったり、あるいは感じたとしてもそれを声に出すこともなく従うような人ばかりであると、こういうのがのさばったり拡大したりするんじゃないか。それはとても危険なことであるように思える。
　前にも書いたが、IPAさんという組織の性格を考えれば、今回の一連の対処内容がこのような情報漏洩に対応するお手本として広く認知される可能性があるように思える。お手本や参考ということであればまずは問題がないとしても、これがスタンダードなのだという認識が万が一にでも広まってしまえば、いろいろな組織や企業であまり考えもせずコピーして利用されるということになりかねないかもしれない*3。
　IPAさんは自分たちの組織のこの方面での立場と影響力について、本当にきちんと認識しているのか、なんだかすごくあやしい気がする。もう発生してしまったことによって名誉や信用がどうにかなったことを心配するより、そのあとの対応でさらにどうにかなることを心配した方がよほどいいのではないか。そして、個人的には今回の対応が正しくてお上手とはとても思えないんだが。いいの? こんなことで。