Yahoo!B.B.の情報流出事件に対する、Y!B.B.が設置した第3者機関「個人情報管理諮問委員会」の第1回答申内容。
事件発覚後の対応については、まぁ同意できる部分も多々なのですが。
>「サポートセンター業務については知識がなかったので本で調べた」とコメント、
>「本で得た知識と比較すれば、通常のサポートセンター業務と遜色のないものだった」と述べた。
この記事の結びの一文でもわかると思うけど「現場をわかってない素人くさい善悪判断」っていう感じがどうしても否めないです。
記事中にある「サポセン」の内部について触れた部分は
「いや、そんなの"最低条件"であって"十分条件"じゃないでしょ」
ってのが率直な感想。
サポセンとしての「最低条件」であって、それで「だからセキュリティ保護対策に落ち度はなかった」という擁護的な答申内容は甚だ疑問。
全体的に「(セキュリティ保護のための)ルールはちゃんと決まっていた」という点をもって「善し」としている論調なのだけども。
「ルールがあればそれでセキュリティ対策は"善し"」というものじゃないでしょうが、セキュリティ対策は。
ルール化されていても、現場でそれが適宜運用されているかといえば、実態は違うわけです。
ぶっちゃけ、自分もサポセンで勤務している立場から言わせてもらうと「この程度の個人情報流出なんか、やろうと思えばできる」んですよ。
ただ、間違いなく「やった後」に「足がつく」のは必至で。
「足がつかないように情報流出」は「非常に困難」って程度には、俺の勤務先のセキュリティは確保されています。
「やっても足ついて、逮捕されちゃう」から「やらない」だけで、「個人情報を流出させること」自体は「なんとか可能」です。
※ってまぁ、こんなこと書くと誤解を招くおそれがあるので補足しますが。
通常の電話対応者よりも、俺はシステムへの利用/アクセス権限が上位にいるので「なんとか可能」なわけで。
通常対応者(いわゆる言葉悪いけど「ヒラ」「下っ端」)には「極めて困難」です。
そこのところくれぐれも誤解なさらぬように。
結局のところ「ルールがあれば"善し"」ではなく、「ルールがあっても守られない」場合を想定していなかったからこそ、今回のような流出があったわけです。
流出経路は今もって判明していないわけですが(それがそもそも「一番の大問題」だろうに、答申では「まだわかんない」で流してる時点でダメダメじゃん)、十中八九、間違いなく「内部漏洩」か「ソーシャルエンジニアリング」によるものでしょう。
この手の情報流出っていうと、フィクションの世界の影響で「外部からハッキングしてデータを盗む」ってイメージありますが。
最低限のまともなセキュリティ対策をしていれば、まずそんなことはありえません。そんな方法(いわゆる「クラッキング」)でデータ流出するようなシステムを使っていたのだとすれば「通信事業者」としてYahoo!B.B.は「失格」どころの話じゃ済みませんから。さすがにそれはありえないと思っていいかと。
結局「技術(テクニカル)的な手法」で流出したのではなく、「人間」の問題でデータが外に漏れたわけです。
「人間」の問題への対策として「ルールを設けているから"善し"」というのは。
「法律で殺人罪を定めたから、誰も殺人なんかしない」
というのと、論法的に全く同じことなんです。
日本には「殺人罪」って刑罰がありますが、そのおかげで、法律制定以降、日本では殺人事件って1件も発生していないですか?
そういうことです。
「ルールを規定しても、人間はそれを守らない場合が往々にしてある」という前提で、先手先手を考慮した対策を講じてなかったのが問題なわけです。
「どうやって外部に流出したのか」が判明しないことには、依然としてY!B.B.の中に「流出経路」(あるいは「流出体質」と言いかえたほうが適切か?)が残っているわけで、それがわからないのに「ルールがあるから"善し"」ってバカみたいな話なんですよ。
さっきの例えで言うなら、殺人事件が発生して犯人も殺害方法も特定できていないのに、「殺人罪があるから問題ないよ」って言ってるようなもんです。
なんていうか、こんな史上最大規模の「情報流出」に対して、この程度の「答申」ってのはいかがなものなんだろう?と思いました。
第3者機関なので、そこにY!B.B.の恣意は介在できないはずなんですが、この答申のお粗末さを見る限りそれも疑わしいと思います。