情報セキュリティインシデントが大きくなる理由

尼崎市の全住民の個人情報データが入ったUSBメモリを紛失するという、なかなかにものすごい情報セキュリティインシデントが発生しました。本日先ほど、見つかったという報道がありましたけれど、実際に個人情報の流失が起きたかどうかは今後、かなりの調査が必要になるでしょう。

今回のインシデントについては委託先企業とその担当者があまりにもいい加減だったとして、尼崎市の役所も災難だな、と思いましたが、その記者会見で担当者がUSBメモリに設定されているパスワードの桁数と文字種別を言ってしまうという、インシデントにインシデントを重ねる事態に発展しました。

情報処理、セキュリティ、ITに関してはどの組織でも重要性が増してきていますし、今後もこの流れは変わらないでしょう。ITやセキュリティに詳しい人間がちゃんとそのポジションに付くべきですし、その上司や経営陣がその重要性をちゃんと認識していれば、もし問題が起きたとしても大きくは発展しないでしょうけれど、ニュースになった事例を見ると当然ながらどこかで躓きを抱えています。

役所や古い大企業では、採用した新入社員・公務員を色んな部署にローテーションしていくことが良くありますが、ゼネラリストは育ってもスペシャリストが育たないことになります。もちろん、新しい部署に着任してからその分野を勉強するのでしょうけれど、ずっとその部署・その分野で専門家になっていく人はそんなに多くありません。

みずほ銀行のシステムトラブルとか、セブンイレブンのセブンペイ不正アクセスとか、表に出てくるお偉いさんがはお偉いさんとして記者会見に出てきているので、詳しいことを突っ込まれるとそれなりに受け答えが噛み合わず怪しくなってきます。

ある意味大企業病とも言えるのでしょうけれど、現代の大組織が備えるべき情報セキュリティレベルはすぐに学べるほどのものでもなく、質も量もゼネラリストでは対応出来ないのかも知れません。

もしくは、ITに詳しいけれど色々決めたり公表したりする権限を与えられていない人が情報部門のトップになっているのかも知れません。

どちらにせよ、IT部門・システム開発部門からスタートして出世していって、その組織のトップになる人が出てくるくらいの環境にならないと、そういう問題は今後も出てくるでしょう。

よく、「地位が人を作る」と言いますが、「その人が地位にふさわしい能力を持つ」までの期間は、ふさわしくない人がその地位に就いていることになります。その期間中はトラブルが起きてもおかしくないことになるはずです。そのリスクを覚悟の上でやっているのなら仕方ありませんが。

情報を効率よくデジタル管理しようとすると、セキュリティトラブルとの戦いは避けることが出来ません。マイナンバー制度がこれほどまでに普及しない理由の一つは反対運動や政府が信用されていないことでしょうけれど、情報流出はデジタル管理するから起きるのではなく、管理運営する人やその人を支えるべき上司やトップのセキュリティ意識が甘いから起きるのです。

太陽フレアのリスクが先日報じられていましたが、今さらIT情報機器が存在しない、19世紀の生活には戻ることは出来ません。2週間我慢する方を誰もが選ぶでしょう。

であるならば、太陽フレアによって機器の動作不良、通信途絶に絡んでセキュリティリスクがむしろ高まるでしょうから、そこでのトラブルをどこまで減らせるか。今流行りのBCP（事業継続計画）に太陽フレア対策も追加する組織が出てくるでしょうね。政府や自治体や大企業がそうできるかどうかは、その長や責任者次第になってしまうのが、本当のセキュリティリスクと言えるかも知れません。