Winnyのウイルス感染による情報流出が相次いでいます。いろいろ考える。ふむ。
★★★
全日空は、空港の職員用出入り口の暗証番号一覧が流出していました。すごいたくさん、職員用の入り口があり、そのそれぞれのドアを開けるための暗証番号がずら〜と表にならんでいるものです。
ちきりんの感想・・・「こんなのウイニーだのウイルスだの以前の問題だと思う。」
・暗証番号の一覧表を作ってもいいのか?そんなもん作らないべきでは?
・その一覧表のファイルデータを、社内の人にさえ、配って良いのか?配るのは紙のコピーのみにすべきでは?
別にウイニーじゃなくても、ウイルスじゃなくても、そんなデータファイルを配ったら、流出の危険は非常に高いでしょう?ちょっとわけがわからない。
★★★
警察だか防衛庁(自衛隊?)から、暗号表とか職員簿が流出。職員が家で仕事ができるよう、個人のパソコンの公的利用を認めていた。
ちきりんの感想・・・・・・「こんなのウイニーだのウイルスだの以前の問題だと思う。」
ありえないでしょ。警察だとか防衛とかに関わる人が、「家のパソコンに機密データ入れて良いです。」なんてルール自体が・・・国防に関わるデータが、個人のパソコンに???家で、子供がいたずらしたら、どーすんの??パソコン盗まれたらどーすんの??
★★★
ちなみに、ウイニーが原因かどうか不明ですが、少し前から、「芸能人の住所リスト」がネットに出回っているんだよね。で、ここ半年くらい、芸能人の家の「空き巣」が多発しています。
★★★
今回の騒動の問題として、下記の3つがあると思いますが、「ウイニーウイニー」と騒ぐのは、問題の本質と、その名称の乖離があるから、あまり適切でないと思うよね。
問題3つ
(1)ウイニーというソフトの問題
(2)ウイルス対策という問題
(3)個人のパソコンに業務データが入っているという業務管理問題
(1)に関して言うと、別の問題(著作権等々)の方が本来、議論されるべきことであり、「データ流出」という問題が、必ずしもウイニー問題ではないと思う。
むしろ、まず(2)のウイルス対策。これね〜、「“パソコンを持っている個人にウイルス対策をやらせる”ということ自体が問題だ」という視点に立たないとあかんと思うよ。
近年、小学生からお年寄りまで、ありとあらゆる人がパソコンを使うし、パソコンを使うのには免許もいらないし、何の勉強もいりません。買ってきて、「初心者楽々サポート」とかのサービスを使うと、ボタンふたつほどでネットにつながるわけです。もしくは、詳しい人(家族とか友達とか)にセットアップしてもらって、いきなりネットにつながるでしょう?
でも、その後、ウイルスチェックソフトをきちんとアップデートするとか、日々のウインドウのアップデートをやるとか、「わかんないから、やってない」なんて人、たくさーん、いそうだよ。仕方ないでしょ。ユーザーは素人なんだからさ。ユーザー側に特定のスキルを求める商品には、免許や資格が必要なんだよ。自動車とかね。免許持ってない人に販売したらだめ、とかさ。そういうのなしで売るなら、ユーザーがなんもしなくても大丈夫、っていうように作らないと・・・
ネットにつながるには、とりあえずプロバイダーとの契約が必要なんだから、プロバイダー側で個々のクライアントPCをコントロールするような仕組みにすべきだと思うけどな。(これはこれで、また別のややこしい問題を含んでいるのですが。)
★★★
あとね〜、(3)の問題が一番大きい。これは深刻な問題です。ふたつのレベルがあります。ひとつは、「社員のパソコン」問題。もうひとつは、「業務の外部委託問題」です。
まず最初の方。正直言って、個人のパソコンで家で仕事している人はゴマンといるでしょう。実際「五万」ではすまない数の人が、個人のPCで仕事していると思います。
しかし、それを「できるだけ避けるべきコト」として位置づけるってのは、最低限必要だ。「私有PCの公的使用を“認める”」なんて、ありえない。認めるなら、会社のPCと同様のセキュリティ管理を、会社側が責任もってやるべきだ。
きれいごともやめた方がいい。「仕事は会社でやるべき」ったって、「終わらないじゃん!!」って量の仕事を押しつけといて、「家では仕事してないはず」なんていわれても無理です。
これは、携帯電話もこれから同じ問題が起こるよね。携帯電話にいろいろ大事な情報を記憶させている人多いでしょ。USBメモリも同じ。「事実上、仕事に携帯電話は必須」という状態でも、よほどの大企業(余裕のある・・)でないと、業務用の電話を社員に配っているところなんてないと思う。大半は個人が自分の機器を使っています。でも、それが悪用された時は、誰が責任持つのか?
仕事に必要なものは、会社側でちゃんとセキュリティ対策したものを配ってください。個人が自分のお小遣いで買って仕事で使うって、そもそも変です。ではないか?と思うちきりんです。
★★★
もうひとつ。業務委託問題。基本的に、最近、大企業ってのは、自社で仕事してません。パートや派遣の人たちに大事なデータを社内でさわらせるのはもちろん、アウトソーシングしている会社に、仕事を丸投げするために、いろんなデータを渡しているなんて、なんも珍しくないでしょう。
今回もTBSの使った番組製作会社の社員のPCから、タレント等の連絡先一覧が流出してますが、今は、こういう「外部委託会社」の情報管理について、委託元である(大)企業の方がなんらかコントロールしている(どころか、気にしている)ケースは、非常に少ないと思われます。
製造業では、もう同じコトが起こり始めているはず。たとえば、大手のメーカーってのは、もう部品を全部自社で作ってるなんてありえない。それどころか、部品はほぼすべて他社に作ってもらって、それを購入して組み立ててるだけ、というのが、消費者が名前を知っているような大メーカーの実態です。
でも、その部品が、たとえば「人権侵害が行われている刑務所で作られた」とかいうと、メーカー自体が責任を問われるような動きがでている。産業廃棄物処理問題もそうです。そのメーカーからでたものだけでなく、部品製造をしている他社からでた産業廃棄物が違法投棄されたら、発注者の親会社の責任が問われる方向に法的整備も進みつつある。
製造業以外にも、情報管理について同様の仕組みが必要だと思います。ゼネコンから通信会社、メーカーに、マスコミに・・・ほぼすべての「一流会社」なんて、自分ではなんもやってないのだから。子会社がやってる?そんなの超まれ&超ましなケースです。実際の業務は、「子会社の子会社の関連会社の子会社が、外部委託している会社の派遣社員」がやっていたりするんです。誰が管理するねん、それ?って感じです。
★★★
ということで、これが「ウイニー問題」と言われてること自体、問題の根本解決を遅らせる、と思うちきりんです。
それにね、安倍官房長官とかまで「最も確実な防御方法は、ウイニーを使わないこと」とまで言い出している。これって「別の意図があって、ウイニーを使わせたくないのでは?」と疑わせるに十分な発言だ。今や、ネット接続機能を含むソフトウエアなんていっぱいあるじゃん。もしも一太郎がウイルス感染して、勝手に情報流出を起こしても「最も確実な防御方法は、一太郎を使わないこと」と言うのだろうか?あの人は・・・言わないと思うな。なんか変だよ。
まっ、そっいうこと。
ではね
また明日
