SMBCソースコード流出を考えてみる

少し時間が経過しているが思うところあったので書いてみることにします。

GitHubは悪者か？　SMBCのソースコード流出から学ぶ、情報漏えいのリスク

まぁこのインシデントについては各種報道があるのでいくつか目にしていたのですが、そもそもこの根底にインシデントに結び付くものが存在しているのではないか、という気がしてきました。

よりにもよって、そのニュースの前にはSoftbankから楽天へ転職した人が営業機密も持ってきているのではないか？というニュースもありまして。

ソフトバンク元社員逮捕　5Gの営業秘密を転職先・楽天モバイルに持ち出しか

情報漏洩問題が飛び交っているわけです。以前と比較しまして情報ツールが増えてきた昨今としてはいわば追う追われるのいたちごっこのようなものではあるのですが、どちらかというと「本人の資質」に左右されるというのも事実です。

ところがどっこい、いまだ仕事をしている中ではそんなところにうとい人々が存在しています。

https://line.worksmobile.com/jp/blog/use-cases/it-information-security/

IT 企業の情報セキュリティ対策 - LINE WORKS

いわゆるSNSツールを業務に使っちゃう。で、そんな人がいなければこれが存在しないわけがありません。なぜ、通常のLINEがダメなのかというのはこちらが解りやすいです。私は「ログ取れないからこっちじゃないとダメだよ」としか説明出来なかったのですが、いいなぁと思ってます。

まぁ、多いんですよ。使う人はマズイという意識がないんです。私は無料プランができているの知らなかったのですがこれなら小さな組織単位でも使えるから活用できそうだなぁなんてことも思ってます。（もちろん組織として使う以上は許可は要るわけですが）

で、話をソースコードに戻します。コード書いている人はいわゆる委託先の社員。ソースコードをUploadしたってこともそうなのですがそのコードは仕事先の依頼で作ったものです。その人のものでも、委託先の会社のものでもなく、依頼した会社に帰属すると考えるべきです。かつ、営業機密の漏洩にあたるのも事実です。

そして漏洩対策として最近は個人情報保護法の関係で秘密保持契約書にサインをした人も多いかと思います。

https://kigyobengo.com/media/useful/504.html

秘密保持契約書（NDA）の作成方法を弁護士が解説！サンプル雛形あり｜咲くやこの花法律事務所

一般的に会社の業績評価で、仕事で作った成果物を提示する、なんてことをよくやってます。やっちゃった人も元々はそういうのが当たり前の環境にいたんだと思われます。誰かに評価してもらいたいから成果物を出して評価してもらう。だから、「悪気」はないわけだし、なぜ世間一般からはダメと言われるかもわからない。今回はその意識に落とし穴があったわけです。

記事読んでてマズイ時代になったというのが第一印象でした。