« LLPでの共有知的財産権の表示について | トップページ | 特許法等の刑罰が厳罰化 »

2006年3月 1日 (水)

あいかわらず、Winny関連の漏洩事件

 このblogでも何度か取り上げてきましたが、あいかわらず、Winny関連の漏洩事件が続いています。

 

基本的に、この手の漏洩事件は、従業者のウイルス感染に対するリスク認識が欠けているということだと思っています。
 また、一切のデータを持ち出してはいけないという社内ルールも問題があると思っています。一見、持ち出さなければこのような漏洩事件が起きなくなるのではないかと思われるかも知れません。しかし、現実を無視したルールというのは、守られないことが多いということを忘れてはいけないと思います。
 ルールはあるが、現実には仕事を持ち帰らないと納期に間に合わないという会社は多いのではないでしょうか。そのような会社で、ルールで禁止しているからと入ってデータを持ち帰らないとは考えにくいのです。
 全面禁止のルールがある場合、表向き持ち出すことはできないのですから、持ち出した後のセキュリティについて会社が関与できる余地はありません。持ちだしを例外的に認めるのであれば、例外の条件を定めることにより、例えば、セキュリティ対策がなされているパソコンでのみ機密情報を取り扱うことにして、実質的なリスクを下げることができるのですが、硬直的なルールではこのようなリスク回避ができないことになってしまうのです。全面禁止にするのであれば、社外で業務を行わなくてすむように業務フロー、人員配置を含めてきちんと手当を行うべきです。実態に合わないルールほどたちが悪いものはありません。

 また、リスクを認識していても、不十分であることを示したのが、海上自衛隊の護衛艦の機密の業務用データが流出した事件といえるのかも知れません。
 2006年2月28日付けの読売オンラインの記事によると、流出元となった海曹長は「自分のパソコンはウイルス対策ソフトを常に更新しており、自分は絶対にウイルスに感染しないと思っていた。慢心があった」と話しているということです。

 ウイルス対策ソフトが完全でないことは、技術に詳しい人には当たり前のことだと思うのですが、ある程度PCを使っている人でも知らない場合があるということを前提に、管理する側で考えておかないといけないということでしょう。Winny関連ウイルスに対するパターンファイルは、開発が遅いという記事をどこかで読みましたが、ウイルス対策ソフトに依存できないという点は、管理側も再確認する必要があるでしょう。

 また、予算がないので私物のパソコンを業務に使用しているというパターンもよく見受けられますが(感覚的には役所の事案が多いように思います)、本当にセキュリティ対策を行う気があるのであれば、そこにお金を使うのが先だと思います。

 もうすぐ、個人情報保護法の全面施行1年になるわけですが、大騒ぎしていた割には、本質的な対策がとられておらず、単にセキュリティポリシーだの、規程書類が分厚くなっただけなのでしょうか。

本blogの関連記事
ウィニーで情報流出、北海道が逆転勝訴…予見できずと : 社会 : YOMIURI ONLINE(読売新聞)
ウィニーで情報流出、北海道が逆転勝訴(その2)

|

« LLPでの共有知的財産権の表示について | トップページ | 特許法等の刑罰が厳罰化 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/125798/8882735

この記事へのトラックバック一覧です: あいかわらず、Winny関連の漏洩事件:

» Winnyによる情報漏出は誰が悪いのか? [Matimulog]
ここ最近、特にウィニーの利用者パソコンから情報漏洩が相次いで報道されている。 N [続きを読む]

受信: 2006年3月 2日 (木) 01時27分

» Winnyから個人情報が漏れる [ぱふぅ家のホームページ]
しかし、すでにモラル・ハザードが発生しているのかもしれない。上記で「業務用PCにWinnyをインストールさせない」「個人情報を持ち出させない」と書いたが、いくらルールを厳しくしても状況は改善しないかもしれない。セキュリティ管理者であるはずの通信員やセキュリティ担当者がWinnyを使い、Winnyのトラフィックはかえって増加しているとい... [続きを読む]

受信: 2006年3月26日 (日) 11時44分

« LLPでの共有知的財産権の表示について | トップページ | 特許法等の刑罰が厳罰化 »