| 個人情報保護法 どうも、保護保護と一人歩きして過剰な反応ばかりが目立って仕方がありません。 特に「個人情報保護」の名目で、何をするにしても面倒臭くなった気がして、あまり良い気分ではありません。 確かに、漏洩するリスクを考えれば今までが曖昧だったかもしれませんが、どうも反応が過激じゃないでしょうか。 さて、Palmなお部屋というサイト、雑多な情報に溢れていますが、やはりPalmマシンを扱っているサイトです。 なので、MA-CYさんの「PDA のない世界」にも反応してしまう訳です。 色々な会社で、情報セキュリティを推進または推進を補助するのは情報システム部ではないかと思います。 そんな彼らは、セキュリティに関する知識や意識は一般の人よりも豊富でしょう。 おそらく情報の漏洩時に問われる責任もあるでしょうから、より過敏に反応する事は間違いありません。 様々なウイルス対策、スパイウェア対策に、Winny対策、外部メディアの接続制御からメールフィルタ、URLフィルタなどなど 数え上げたらキリがないほどの対策ツールの中で、自社に必要なものをチョイスするのは並みの知識では無理でしょう。 それも、限りある予算の中で実現しなきゃならない訳ですから、苦労は並ではありません。 しかし、それらのツールを使うことで、色々な制限が出てきます。 プリンタ1つ取っても、印刷に許可が必要だったり、必要なメールがCCの数の制約によって送れなかったり。 はたまた、常駐する対策ツールでPCが重くなり、満足に使えなくなってしまったりと。 当然ですが、セキュリティを強化するという事は、動作に制限をかける事なので、基本的には作業の効率を下げるものになります。 一方で、IT化によって効率を上げるというパソコン、一方のセキュリティで効率を下げる。 どちらがどちら、という訳ではなく両者のバランスを見極めないと、セキュリティがきつすぎて使えないシステムになったり、 動作は軽いけどセキュリティがゆるゆるの仕組みが出来てしまいます。 では、対策ツールを入れたからセキュリティが完璧になるのでしょうか? 答えは否でしょう。 ウイルス対策を考えてみても、新種のウイルスが発見されてからパターンファイルが配布されるまでにタイムラグがあるわけですし、 WindowsUpdateも基本的に月1回、その間に攻撃がないとも言い切れません。 対策にしても、重要な画面は印刷できないようにしました、と設定しても画面のコピーを取って別のアプリで印刷されたらおしまい。 では、画面のコピーも取れないようにしても、今度は画面をカメラで撮影して情報が抜かれておしまい。 カメラの持ち込みを禁止にしても、情報を盗る気があれば、全部メモしてでも持ち帰るでしょう。 要するに、最後は「人の質」に頼るしかありません。 かつての会社は、単に仕事を教えるのではなく、マナーやルールなど社員教育に力を入れ「○○社の社員に相応しい」行動を求められました。 社会も「○○社の人なら大丈夫だ」と安心感すら持っていたわけですが、今や利益重視。 悠長に人を育てる会社は減る一方で、一から育てるよりも、育った中途の社員を良い条件で採りましょうという時代。 合理化の影で、愛社精神という言葉は死語になりつつあるのが多かれ少なかれ実状ではないでしょうか。 セキュリティについても同じことが言えます。 情報システム部は、情報を守るために、ユーザーに対して規制をかけることを当然とし、様々な対策、システムを導入してきました。 しかし、その一方、情報の漏出は後を絶ちません。 何故でしょうか? 情報漏洩は、故意に行われるものだけでなく、不注意や誤操作からも生じますし、ウイルス感染などによって引き起こされる場合もありますが、どの場合も、利 用者がキーになっていることは否めません。 パターン未定義の未知ウイルスですら、「不審なメールは開かずに捨てる」という原則を守れば、全てが脅威にはなり得ません。 もしかして、セキュリティ対策を推進する人は、利用者を説明しても何もわからない子供だと思っているのではないでしょうか? 確かに、コンピュータを前にして、ユーザーは子供よりもタチが悪い振る舞いを見せることがあります。 しかし、セキュリティリスクについて明確に説明し、それに対する責任と権限を与えても話が通じない子供ではないでしょう。 少なくとも、社会人としての責任を持った大人である筈です。 一方で利用者の教育やモラル形成を疎かにして、カタログから引張ってきた「こうあるべきだ」という作業効率を下げるようなシステムを押し付ける姿勢は、そ ろそろ卒業すべきだと思います。 最近、徹底的にログを収集するセキュリティ対策が進められています。 いわゆる、デジタル・フォレンジックと呼ばれる手法と一緒に行って効果を発揮するようですが、利用者の自由度は高めます、リスクがあることも説明します、 だけど、操作しているログは取得しますよ、という考え方です。 もちろん、単にログを取るだけでなく、最低限「ここまでは会社的にNG」とします、というルールを決めなければ歯止めが利かなくなりますので、それは致し 方ありません。そういうルールですから、その事は利用者に徹底します。 例えば「ウチの会社はUSBメモリはNGね」と言った制約ですね。 システムログや操作ログなど徹底的にログを取得し、監視することで、プレッシャーにはなりますが、それは利用者に何が危険か、どこまでよいのかを意識させ るためには必要な事でしょう。 そもそも、まっとうなルールの元で業務を行うのであればほとんどの場合、何ら不都合はないはずです。 そして、万一、情報が漏洩した場合、重要なのはその被害の把握です。 それらのログから「どこの誰がどのような経路でどんな情報をどれだけ持ち出したか」を速やかに判断し、対策を立てることで社会的信用の失墜も最小限に抑え ることができるでしょう。 少なくとも、記者会見の席で「経緯と状況は目下調査中です」と下を向きながら発表しなきゃならない状況は避けられる筈です。 PDA利用も、社員の仕事の効率を上げるものであれば、会社としては喜んで使ってもらうべきものでしょう。 PDA持込を「個人情報保護の観点」だけで禁止する事に、どれほど効果があるか分かりませんが、セキュリティ推進をする者は、一方的に禁止して業務効率を 下げる方向を目指すのではなく、PDAを社内で利用する事と、実際の社内のシステム事情を見比べて、それが安全か否かを見極めるだけの材料と教育を提供す べきではな いかと思います。 パソコンなんてただの道具だ、と言っていながら、その道具をできるだけ使わないように制限している「セキュリティ対策」にどれほどの価値があるのか甚だ疑 問です。 今後、その道具を使わせないことを推進するより、安全に使わせる方法を教える時期に来ているのではないでしょうか? Winnyで大騒ぎをしていますが、あれを使って情報を漏らすような利用者の意識レベルなら、何を使わせても同じだけの危険性があることを皆は気付いてい る筈です。 単に禁止、禁止と押し付けるより、そんな危険そうなものを使っちゃいけない、と自覚させる事が重要だと思う訳です。 利用者は、責任ある大人、立派な社会人です。 与えられたルールに従って節度ある行動と責任を有する大人なのです。 甘い…ですかね。 確かに、今までの曖昧な基準からすれば甘いでしょう。 でも、違反行為は、ログの取得によって責任所在が明確です。 決められたルールが守れなかった事の責任は、キチンと取らせる事も重要。 違反者には、かなり「厳しい」責任を取らせても、十分なっとくするでしょう。 利用者は、責任ある大人、立派な社会人ですからね。 |