USBにまつわる時事ネタ（その２）【顧客情報漏洩】【解決策無し男】

USBメモリで顧客情報紛失のハナシの続きなんですが、こちらが本論です。
適当なパワポで説明します（漫画じゃないんかい！）漫画は時間かかるんですよ。

適当な予想です

たぶんこんな契約関係で、納期と金額だけ決まってて2次受けさんには契約に関する権限がない。作業時間とタスクだけ振られてる感じ。
そして、
助成金関係のスポット作業で処理は一発もので（たぶん）大して難しくないので、あまりスキルの高い（＝人件費の高い）人間が作業してない。
だから上手く作れなかったら「時間の経過がコスト（原価）」なのでUSBに入れて持ち帰って、超過時間が無かった事にしたい。
各社、本契約書と同時に機密保持契約も交わしてるので、「まあUSBにデータ入れるくらいOKだろ。契約書あるし」な感じではないか？

よくある批判

批判１「おいおい、USBに入れて持ち出すとか正気かよ」
→　機密保持契約の範囲だとおもった
批判２「USBじゃなくてクラウド使えよ」
→　この手のシステムは外部に接続するネットワークインフラが無い。あるはずがない（経験上）
批判３「データ持ったまま飲酒で泥酔とか正気かよ」
→　発注者または一次受けに誘われて断れなかった
・・・と予想します。あくまで予想です。

じゃあどうすればいいんだよ？

監査を厳しくしても、担当部署の偉い人が処分されても、中抜きがけしからんと言っても、日本のITは終わってると言っても根源は変わらないです。再発防止にもなってないです。
発注者の情報リテラシーを上げるのが（コスト的に）無理なので丸投げしてるんだと思います。
作業が簡単だったら利益を大きくするために安いエンジニアを使うのも、まあ、普通に有るんじゃないですか。知らんけど。

リスクを下げるように2次受け作業者が出来る部分は、せいぜい、
・持ち帰らなくていいように馬車馬のように現場でプログラム書く
・作業日に飲みに誘われても「今日は飲めないんです。またの機会に」とか適当な嘘で逃げる
このくらいだったりして。
どうなんですかねえ。