2010年が始まってわずか数時間で前代未聞のパスワード流出事件が発生しました。
- 『アメーバブログ』で前代未聞の情報漏えい! 芸能人ブログのパスワード流出で芸能人「ショック」と嘆く – livedoor ニュース
- 深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説 – livedoor ニュース
事の発端と状況については上の記事をご覧いただきたいと思いますが、今回の事件(事故?)はサイバーエージェントの情報会社としての信頼を失墜しえない重大な問題だと言えます。
記事や実際にエクセルファイルを取得できた状況、2ちゃんねるの状況からだけの推測ですが、この状況からだけでも問題があると言えます。
- エクセルファイルをダウンロードできるURLをブログ記事に公開してしまった
- エクセルファイルでID/PWを管理していた
- エクセルファイルを一般公開されたアップローダーにアップされていた
- エクセルファイルにパスワードがかけられていなかった
- エクセルファイルを暗号化されていなかった
一般企業にも要求される個人情報保護の観点から見ても、この取り扱い方法、状況はずさんでお粗末だとしか言えません。ましては日本を代表するIT企業がこの程度なのかと思うと残念でなりません。
サイバーエージェントの企業ページに掲載されているプライバシーポリシーを見てみると以下のように書かれています。
8.個人情報の安全管理・従業員の監督
サイバーエージェントは、個人情報の漏洩、滅失またはき損の防止その他の個人情報の安全管理が図られるよう、個人情報保護規程を定め、従業員に対する必要かつ適切な監督を行います。9.委託先の監督
サイバーエージェントは、個人情報の取扱いの全部又は一部を委託する場合は、委託先と機密保持を含む契約の締結、または、サイバーエージェントが定める約款に合意を求め、委託先において個人情報の安全管理が図られるよう、必要かつ適切な監督を行います。
プライバシーポリシー/株式会社サイバーエージェント
少なくてもこの2点については守られていなかったといわざるを得ません。今後、サイバーエージェントによる、事実関係や原因の調査の結果が報告・公表されると思いますが、私が危惧しているのは今回の事件(事故)は決して他人事では無いという点です。
今やどんな企業でも個人情報を取り扱っていますし、正社員、派遣社員、外注、アウトソースと自社内だけで情報漏洩を完璧に防ぐことは不可能なのが現状なのです。
これまで過去にも数多くの情報漏洩が発生していますが、その度にがんじがらめのルールが作られどんどん仕事がしにくくなっています。これは企業によるクラウドコンピューティング化を阻害している点も見逃せないと思います。
どれだけルールを厳しくしても、どれだけ社員を教育しても、どれだけプライバシーポリシーを高らかに掲げても結局は情報漏洩のリスクを低減するだけで結局は、情報漏洩を防止する効果はありません。情報漏洩をしてしまったときに、「これだけの事をやっていたんだよ?」というアピールをするための材料にしかならず、漏洩してしまった際の企業イメージの低下や補償のための損害ははかりきれません。
これは今やすべての企業に潜む危険性なのです。どれだけ個々人が組織だってなる企業であっても最後は個人の善意に任せるしかない、という情報漏洩の危うさ、恐ろしさがあるのです。明日は我が身かもと思うと背筋が凍る思いです。
これだけ情報技術が発展しても情報漏洩に関する部分の技術開発が追いついていない。法整備が進んでいないというのが最大の問題なのだと思います。現状はルールを厳しくすることで普段の作業や仕事がしにくくなる。という繰り返しだけで何の根本的な解決になっていません。
情報漏洩の技術開発(暗号化の標準化)を進めることで本人でなければ扱うことができないという技術確立が今後の課題だと思います。しかしこれには解決しなければいけない課題も多く難しい。そうなると残るのは企業または個人への罰則の強化しかありません。
現時点で技術的にもルール的にも回答はありません。どんどん便利になるネット環境とパソコン環境。もはや企業や教育で解決できるレベルではないかもしれません。そろそろこの問題について、個人情報保護法やプライバシーマークなどの表面的なルール作りではなく、本腰を入れて検討するときに来ているのかも知れませんね。2010年早々この問題について考えさせてくれるきっかけを作ってくれたサイバーエージェントに感謝????
