日本航空の顧客管理システムへの不正アクセスについてまとめてみた - piyolog
この事件は通常の漏洩とは経緯が異なるし事件性が非常に高いと思うんだけどなぁ。内部犯のような気がしなくもないし、どこかベネッセ事件に通じるものを感じる。そもそも日本の情報管理の仕組みは糞だからなぁ。
よんだ。
わかりやすくまとまっていると思います。
それはさておき、日本では、まさに日本というものを具現化したような「プライバシーマーク制度」というものがあります。
ある程度政府もお墨付きを与えているもので、通販番組のテロップであったり、ネットショップであったり、場合によっては加盟する際に取得を事実上強要されるケースもあります。
さて、このプライバシーマーク制度ですが、どの程度の効果があると思われますか?
私自身はコンサルとしての立場ではなく、クライアント企業側の実務担当者であったり、責任者という立場でヒアリングや更新作業に従事していたわけなんですが、ハッキリいうと、ほとんど効果なんて期待できません。
その理由は制度の審査方法にあります。
まず、初回・更新によりプロセスは異なりますが、原則事前にコンサルタントが入り、アドバイスをもらいながら審査をとおるように様々な改善をおこないます。
ただ、このアドバイスですが、当然のことながら、個人情報を如何に守るかという事をかたりつつも、現実的には、この程度の対応が限界でしょう、と、いったようないわば企業側の論理にたったある意味マニュアル的な対応を進めてきます。
特に、このコンサルタントというのは、団体側に認定を受けていますから、それほど外れた対応をする事も無いので、他社と横並びの対応を進めてきます。
結果、今日本のプライバシーマーク取得企業で何が起きているかというと、どんなにコストをかけても、結局は、程度の差はあれどにたような業務マニュアルであったり、システム導入であったりで、ほぼ同じような欠点をもつ仕組みになってしまっています。
この横並びでマニュアル的な対応は、コンサルタントの対応だけではありません。
実際の審査の場合は、書類のチェックからヒアリング、そして現地審査と行われますが、ほとんど意味は有りません。
なぜか?
このチェックののち、審査官から指摘項目の一覧を受領する事になりますが、この一覧を実際には全て対応する必要など無いからです。
基本的に、プライバシーマーク制度の更新の時に重要になるのは「リスクが存在している事を正しく認識しているか」という点にあります。
ですので、前述した指摘項目の一覧が提示された場合も、最後の最後は「そのようなリスクが存在していることを当社は認識しており、十分に慎重な対応を今後検討する事がとする」ような解答を準備しておけば、基本的に問題有りません。
ちなみに、これ、次回の更新時にたまにチェックが入るのですが、その場合も、進捗状況の報告をそれなりに行っておけば、その問題が解決しているかどうかは議論にはなりません。
そもそもが更新させる事を前提にした制度ですからね。
その結果、企業側の対応も非常にざるです。
せいぜい必死に頑張る部分としては、啓蒙・教育の部分だけじゃないですかね。
と、いっても、これも行っているという事実と、従業員に周知したという事実が存在すればいいだけなので、大抵のやる気のない企業では研修という名目で従業員をあつめ、1時間程度の講習(パワポ数枚の説明)を行い、受講記録(又は同意書等の提出)を行って終了です。
これを1年に1回〜3回程度行っている程度でしょう。
なぜここだけはちゃんとやるかというと、それが審査に含まれるからです。
どのように個人情報を守るかという基本的なルールを備え、そのルールをどのように周知するかというプロセスを定義し、そのプロセスが適切に実施されている事をチェックしていますと。
その一番末端部分のチェックの一つである為、研修を行っているわけです。
その他にも、入退室記録であったり、物品の持ち込み記録というものを準備しますが、前者については、ビルの電子的な記録を後からチェックする程度であったり、後者も来客者については原則チェックしないような程度のものです。
なお、来客については外部の方が施錠されていないエリアに入る分は、セキュリティーの区画を定義し管理していますので、別に会社の中にそのような自由なエリアがあっても問題にはなりません。
ハッキリいえば、日本の企業の情報管理や情報の管理に対する倫理観をダメにしているものの象徴がプライバシーマーク制度であるといっても過言ではありません。
その一番特徴的なものが、冒頭にあげた、プライバシーマークの取得を事実上強要するようなものの存在です。
なぜそれが問題なのか。
そもそもプライバシーマーク制度の取得を事実上強要するようなケースというのは、目的は唯一ひとつしかありません。
それは、万が一問題が起きた場合、その企業は十分に対応をしていたので止むを得なかったという事を主張したいのです。
実際、プライバシーマークの審査時にも取引先の監査という内容があるのですが、この中でも取引先がプライバシーマークであったり、ISOであったりを取得している場合、相当な対策が講じられていると考えられる、という事で、基本重要なデータの預け先であっても定期監査なんてほぼ未実施ですし、せいぜい初回契約時に現地訪問をする程度だと思います。
結局の所、マークを保持する事が目的になっているというのが現実で、そのマークの存在が、お互いを緩く承認し合う結果となり、実務に関わるものからみれば、プライバシーマークをもってますという事を前面にアピールしている企業は正直「あぁ、この会社個人情報保護の取り組みなんもやってないんだな」という情報を漏らしているようなものにしかみえません。
日本では何かにつけて「認定マーク」であったり、「認定コンサル制度」であたり、「認定資格」を作りますが、その結果、無責任な企業がより増える事となるわけですが、団体側はそれらを取り締まる事も行わないので実態は利用者が想像するよりも正直最悪なものです。
まぁ、こういった事実への反論として「何もやらないよりはましじゃないか」というものが有りますが、そもそも「なにもやらないような企業」と同じレベルで議論する事が間違いであって、そういった「なにもやらないような企業」には個人情報の取り扱いを行わせないか、そういったマークの付与は行わないようにすべき話です。
まぁ、いや、審査料として数十万はらい、コンサルの助言もちゃんとうけ、最低限の事はやってますよ、というのが企業側の意見なんですが、それは情報を如何に守るかという取り組みではなく、企業を如何に守るか、つまり、万が一漏洩した場合にも「ちゃんとやるべきことはやっており、その事を第三者にちゃんとチェックしてもらっていましたよ」という事を述べたいだけであって、そんなものは「お客様の情報を守る為の取り組み」ではないんですよ。
私は、自分が関わる啓蒙・教育のコンテンツにはいつも「形式的な内容なんてどうでもいいし、統計上のデータなんてどうでもいいです。そんな事よりも、社内にあふれている具体的な事例を取り上げ、小さいものでも良いので従業員にその事を見つめてもらい、どうする事が必要なのかを理解させる」であったり「お客様の事として捉えるのではなく、自分の名前、住所、電話番号や就労先、クレジットカード情報等の機微情報がもれたらどうかという風に置換えて、その上でどのような対処をする事を望むのか考えるべき」という事を言っています。
事故であったり事件というのは、特別な事を理由にしておきるわけではありません。
現実にはすごく日常的でありふれた作業の中で起きているものであって、その事実を理解し、そのような中で如何に事故や事件を防ぐかという事がもっとも重要なのです。
もっとも、残念な事に、こういった意見は多くの経営者には届きませんがね。
というような形で、プライバシーマークというものの無意味さと、日本の企業の顧客情報を如何に守る気がないかという事の一例として知っている限りの事を書いてみました。
