「まずは裾野から」見ていただけないものかしら?
http://premium.nikkeibp.co.jp/itm/int/06/
個人情報保護法のお話よ。
奈良先端科学技術大学院大学 情報科学研究科の教授で、内閣官房情報セキュリティセンター*1 情報セキュリティ補佐官でもあるという輝かしい経歴を持つ山口英様の素敵なご発言の数々よ。
まずはじっくりとチェックをしてみようかしら。
取り合えず前半は歴史の分析だからすっとばすわ。
で、まずはここから。
すごいわねぇ。「保険」っていう考え方とか「何かが起きたときのコスト」っていうリスクマネージメントって言う考え方とか、そういった「正常な発想を全て否定した短視野的な愚かな発想」を肯定するかのごとき発言だわ。
http://premium.nikkeibp.co.jp/itm/int/06/ より
1つ目は、投資において、常に厳しいコスト圧縮圧力にさらされてきた経営者の多くが、「情報セキュリティに関する投資は“コスト”である」といった意識を強く持ってしまったことです。 2002年ぐらいまでは「実際に大きなトラブルも発生していないのに、なぜ、情報セキュリティに関する投資が必要なのか」というマインドが充満していました。
まぁこのあたりは概ねそうだわね。
http://premium.nikkeibp.co.jp/itm/int/06/ より
そんな中、個人情報保護法の審議が2003年に満了して2004年に成立し、今年4月、全面施行が実施されたため、各企業は、この法律に対してどこまで対応すべきか見えないまま、ただ、大きなプレッシャーだけがかけられることとなりました。特に、主要なメディアが、個人情報保護に関する“一大キャンペーン”を行ったことにより、「どうやら、われわれは個人情報保護に積極的に取り組まなければならないらしい」、「何らかの対応策を取らなければ、自社の存亡にかかわるかもしれない」といった風潮がどんどん高まっていったのです。このことが、企業を情報セキュリティ対策、個人情報漏えい対策という方向へ向かわせたのです。
しかし、そこには大きな問題がありました。それは、政府が各業界向けにガイドラインを提示するのが非常に遅かったことです。そのため、各企業は、具体的にどういった対応策を講じるべきかの方向性が見えないまま、手探り状態での“ポリシーなき投資”を行っていったのです。これが、セキュリティ対策に関する現在の各社の状況であり、したがって、過少投資も起こるし、過大投資も起こるし、勘違い投資も起こるといった、実によろしくない状況に陥っているのです。
個人情報保護法は、現在のところ、正直ザルな法律ですし。しかも政府のガイドラインなんて皆無な状態ですもの。まぁ各企業とも困ってはいるんだと思いますわ。
これは正しい認識だわね。概ね管理職とか経営者とかいわれる連中の蒙昧で愚鈍な発想が多くの危機を生み出しているんだと、あたしも思うの。
http://premium.nikkeibp.co.jp/itm/int/06/ より
現在、連日のように報道されている情報漏えい事件の大半は、情報セキュリティ管理に対する経営者の理解や関心度が低い中、適正な投資も改善も施されないまま放置され続けたことがベースとなっており、ある意味、起こるべくして起こっていると言えるのです。
ただ…ここからの話が微妙に混迷してくるのよね。
はぁ?*2
http://premium.nikkeibp.co.jp/itm/int/06/02.shtml より
―では、企業は今後、個人情報漏えい問題に対して、どういった対応をしていくべきなのでしょうか。
山口: 乱暴な言い方をすれば、対策がしっかりされているならば、私自身は個人情報が漏れても構わないと思っているんです。経営者に自社のブランドに傷がつかない自信があり、業務に支障が出ず、訴えられても保証金がきちんと払えて、業務改善命令を受けても平気であるという覚悟があれば、の話ですがね。
なぜ、個人情報が漏えいしても構わないのかというと、企業が“情報管理体制”と“危機管理体制”さえしっかりと行っていれば、漏洩そのもので顧客が実質的な被害を受ける可能性は極めて低いからです。
実際、Web上を流通している個人情報は、プライバシー情報でも何でもなく、複数の企業のデータベースに重複して山のように蓄積されている“単なるタグ”に過ぎないことが多いのですから。第一、すでに大量に流通している個人情報を今さら止めることは不可能に近いと思います。
そうねぇ…意訳すると「現在すでに流出してるんだから別にいいじゃんそんなに神経質にならなくったって」って感じかしら? それとも「赤信号 みんなで渡って ジェノサイド」って感じの考え方なのかしら?
余人ならいざ知らず。「内閣官房情報セキュリティセンターの情報セキュリティ補佐官」とか「奈良先端科学技術大学院大学 情報科学研究科の教授」とかって肩書きを持ってる人間が公に口にしていい内容だとはミリグラム単位で思えないんですけれども。
これも大甘だわね。
http://premium.nikkeibp.co.jp/itm/int/06/02.shtml より
ところが、個人情報保護法の施行が決まり、「これからは、きちんと情報を管理していかなければ、国から改善命令が出されますよ」と言われた瞬間、どの企業も皆、一様に「改善命令の対象にはなりたくない」「メディアから叩かれたくない」「自社だけは、業界で最初の個人情報漏えいで指摘を受ける企業になりたくない」といった過剰な反応を示し始めたのです。私は、それが“よろしくない”と言っているのです。
少なくとも今まで*3、企業達の多くはセキュリティにかかるコストを「無駄だ」くらいに思っていたと思うわ。それこそどんなに口を酸っぱくして言っても「何もしなかった」のよね?
飴で駄目なら鞭ってのは基本的な動かし方なんじゃなくってかしら?
まぁ「情報なんて漏れてもいいんだい」って発想の方には難しいかもしれないんでしょうけれども。
これに関しては…半分はうなずけるんですけれども、半分は「ちょっと性急に過ぎるんじゃなくってかしら?」と思わなくもないわ。
http://premium.nikkeibp.co.jp/itm/int/06/02.shtml より
個人情報保護法の施行が一種のカンフル剤となり、内在していた問題が一気に噴出したという点では、大きな意義があったとは思いますが、その露呈された問題をいつまで経っても理解し、消化できていない日本の社会というのはまだまだ未熟だと思います。
まぁトータルでみて…概ね面白い事を言っているとは思うの。ただ、やっぱり一部問題があるとは思うわ。それは多分、この方がセキュリティを「上から見ている」事に起因しているように思うの。
視点を「一般個人消費者」というところに落としたときに「取り合えずあなたの個人情報なんてすでに流れてるんだから保証金は払ってあげるからそれでいいでしょ?」といわれて、どれくらいの方が納得できるのかしら?
流れている個人情報を「今」この段階でこれ以上流出させなければ、あとは時間がゆっくりと「情報を風化」させてくれるわ。でも「金さえ払えば流れてもいいんだ〜」なんてことをされたら、情報は常に最新版よ?
折角の知識であり立場なんですから、もうちょっと「凡百の人々」っていう視点も持っていただけたら…って思うのは我侭なのかしら?
