ブログを見ていると、みなさんとても辛辣です。学習できていないとか、反省がないとか言いたい放題ですが、学習や反省をすると情報漏洩は100%防げるのでしょうか。学習や反省を求める人は完了基準を出してほしいです。学習後は、何かのテストで80点に達しているか確認すればいいでしょうか。80点は完璧ではないからまた事故が起こるかもしれません。納得できる合格基準は何でしょうか。それがわからないと、日本年金機構はどれだけ費用をかけていいのかわかりません。年金業務自体を廃止する以外に確実な方法がありません。
泥棒に入られて、そこに預けていた物がなくなったというとき、預けた先に責任を取れということはできると思うのです。今回も、誰の責任なのかはっきりすべきです。結果責任のことではありません。つまり誰かが辞任すればいいということではありません。誰がいつまでに何をすべきか責任を持って考えていくことを決めよ、そしてその内容を説明せよということです。ただ、泥棒に入られた人に学習できていないとか、反省がないという人はその内容を具体的に言うべきなのです。
あなたの家に泥棒が入ったとして、友達から「お気の毒に」あるいは「今度一緒に飲みに行って忘れようよ」と言われるかわりに「お前は学習していないなあ」と言われたら、すぐに「それは具体的に何か?」と聞き返したくなるでしょう。わたしだったらそうです。仮に2回目だったとします。1回目は玄関の鍵をかけ忘れて玄関から侵入されました。2回目は施錠していた勝手口横の窓が割れていました。何を学習したら窓を割られずに済んだのでしょうか。たぶん常時すべての扉と窓を見守るか、家の窓を全部鉄板でふさぐといった方法しかないでしょう。セキュリティ対策には完全はないのです。もしあるとすれば、完全に不自由にするとか、守るべき物をなくすといったことになります。
漏洩したことは残念ですが、わたしは学習や反省は求めません。過去を振り返らなくていいので、今後どうするのかの説明を待ちたいと思います。
漏洩元を小さくする対策
重要な情報が大量に漏れる恐れがある組織としては、規模が大きすぎると思います。少人数もしくは少ない拠点で情報を取り扱うようにしなければ人の対策は難しいのです。ウィルスメールを開けた人を笑うなら、全国の人間に対してあなたひとりで教育してみてほしいです。また、オレオレ詐欺のように、人向けの攻撃はどんどん巧妙化するのです。かつて、大手都市銀行になりすましたメールも、当初は明らかに日本人が書いたものではない内容でしたが、今は日本語が上手です。怪しいメールは開くな、という人は基準を出すべきです。なので、全国に点在する職員やアルバイトの人為ミスを完全に防止するのはあきらめましょう。
そこで発想を変えるのです。年金を配るだけなのに、全国各地に事務所が必要なのでしょうか。今すぐには難しいですが長期的な課題だと思います。ある程度漏洩先が絞れたら新しい製品も使えるのですが、全国規模になると、計画から導入まで1年以上かかり、予算もそれなりにかかるのでなかなか進みません。もとは官庁なので、計画や競争入札の期間を含めるとさらに1年かかるかもしれません。
組織を今すぐ変えられない場合は、せめてデータだけでもPCに持ってこないようにすることが技術的には可能です。各地に拠点があっても、そこまでデータを送るかわりに、データを表示させた画面だけを送るようにすれば、事務所をなくすのと同じ効果があります。ただ、全国でデータが参照されるときの画面を、中央のコンピューター内部で作り出す必要があるので新たなIT投資が必要です。また、画面をスマートフォンのカメラで撮影すれば、1画面分ではありますが漏洩しますので100%ではありません。ただ、大量漏洩はかなりの手間になりますし、中央のコンピューターが狙われたら結果は同じです。セキュリティ対策に終了はありません。
被害者が馬鹿にされる世の中になっていくのか
犯罪に遭ったり、交通事故に遭ったりした際、家族から「あれほど気をつけろと言ったのに」と言われることはあると思います。また、どちらが悪いというわけではないときは「お前の方が悪い」と言われることもあり得ます。ただ、セキュリティ事故の場合、公的機関などはほとんどの場合、他人から怒られるのです。ほとんどと言っているのは、100:0で犯罪者が悪い場合は被害者は免責されるのです。ところが100未満であれば糾弾の対象となるのです。被害者は100%悪くないと証明することはできないので、通常は馬鹿にされることが決定してしまうのです。でも今後の日本ではこれが標準なのでしょうか。何時でも被害者が馬鹿にされる社会は厳しいと思います。
