個人情報流出考察

某国営放送の大阪放送局の集金担当が、集金した顧客の情報を、自分のPCに保存したため、shareを介して情報が流出したというお話。

http://www.asahi.com/national/update/0721/OSK200607210070.html

２つほどポイントがあると思う。

・担当社員が自分のPCに独自に顧客の個人情報を保存したこと。

これは、社員（従業員、関係者）に対する教育不足だろうね。個人情報とその取り扱いに関する教育は、いまやある程度の規模の民間企業ならばどこでもやってる。これが、某放送の保有情報のコピーと見るか、独自収集と見るかは微妙だけど、少なくとも個人情報の扱いについての基本的な教育を受けていれば、こうした行為のリスクは理解できるはず。仕事上の情報を私物PCで処理する点については、某局がどのようなポリシーを持っているのかは不明だが、これも徹底不足なんだろう。

・そんなPCにShareを入れていたこと

最近、winnyは怖いからってんで、shareなら・・・と思う人もいるのかもしれないと思うとちょっと寒い。winny騒ぎすぎの弊害かもしれないけど、漏洩事件の原因は「ウイルス」であってwinnyじゃない点、shareはすでにantinnyの次のターゲットになってるし、同種のソフトも同様の危険がある点。さらに、何も入れてなくてもウイルスに感染するだけで情報漏洩の可能性がある点なんかを、もっと広く知らしめるべきじゃないかなと思う。

まぁ、セキュリティ屋的に言えば基本的なことが出来てなかった・・・ということなんだと思う。

一方で、どの程度の情報が入っていたのかは不明だが、たぶん住所と氏名程度だろうと推測している。実害は少ないのだろうが、「個人情報漏洩」という言葉が一人歩きして、また受信料支払い拒否が増えるんじゃないかなとちょっと危惧。ただ、住所と氏名だけだからといって深刻な事件に悪用される可能性がないかというと、かなり微妙なので難しいところだ。

「個人情報」というだけで大騒ぎになる風潮はまだ続いている。でも、その個人情報にも様々な種類があるし、その内容によって漏洩することのリスクはかわるはずだ。しかし、そのあたりの議論が抜け落ちて、「個人情報」という言葉が一人歩きしてしまっている状況も、ある意味で憂うべきものかもしれない。一方で、こんな例もある。

駐車場の契約更新のための書類を不動産屋が送ってきたのだが、たとえば「本籍」のような機微とされる情報や、年収などを書かせた上、個人情報取り扱いについてのポリシーも何も明記されていない。結局、騒いでいるのは大企業だけなのか、と思うとちょっと寒い。当然、これらの情報は書かずに、「個人情報取り扱いについての方針」を明らかにしてないから提供拒否します、と書いて送り返した。

最近、各企業では「個人情報」が入ったPCを紛失しただけでそれを公表もしくは対象者が絞り込めれば個別に通知することが常態化している。（基本的には正しい対応なのだが）たとえ、そのPCのディスクが暗号化されており、起動時に指紋認証を行うようになっていたとしても・・・だ。たしかに、それでも情報が盗まれる可能性は理論上ゼロではないが、一般的な人がそれを拾った（または盗んだ）場合、限りなくゼロに近いと言える。しかし、個人情報が入ったPC紛失の社会的取り扱いは（特にマスコミ的取り扱いは）個人情報が実際の漏洩した場合と大差がないように思える。だから、取り得る最大限の対策をしているにもかかわらず、社員に対して「PCなくしたらクビ」みたいなことを言う企業が後をたたない。もっと現実的なリスクに応じた対応（社会的評価）ができないものだろうか。

最近、家にPCを持って帰ることが極めて少なくなった。以前は毎日持って帰っていたが、それが週末だけになり、最近は特に必要がなければ週末も持って帰らない。だから、今日のようなアクシデントで（笑）会社に行けなくなると仕事をする手段もなくなる。休日にちょっと思いついて懸案を処理するなんてこともできない。まぁ、それはそれで平和なのかもしれないが、日本の企業は結構損をしてるかもしれないなと思う。もちろん、こうした社員の好意にあぐらをかいてきた企業がしぶしぶありかたを見直すのは悪くないが、一方、働く意欲もかなり削がれているにちがいないと思う。

考えてみれば、この某放送局の担当者のような発想は、ちょっと前なら誉められこそすれ、非難されるものではなかった。自分の仕事を円滑に進めるために、自分の財産まで利用して会社（組織）に貢献したわけだから。もしかしたら、この世の中、どこかが間違ってきてるのかもしれない・・・・。

＃とりあえず腰はだいぶ落ち着いたけど、まだおっかなびっくりでないと歩けない。暇なので書いてみた。（苦笑）