公認内部監査人的視点

松本人志「さらしてしまった人のプライバシーが守られるのはおかしい」尼崎の個人情報紛失に持論
https://news.mixi.jp/view_news.pl?media_id=8&from=diary&id=7010555

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

諸氏がすでに書いているようにツッコミどころは多数ある。

①責任の重さ
・BIPROGY株式会社（前：日本ユニシス社）
管理者と担当社員の責任の比率だが、ルールや規定の有無、内容の妥当性、その内容の順守状況の順序で見ていく。

管理者の責任が大きくなるのは①ルールがなかった②内容がおかしかった③担当社員に順守させる努力が足りてなかった、の順序となる。逆に③によってくれば担当社員の責任比率が大きくなる。

・尼崎市役所
ここでも同じ。ルールや規定の有無、内容の妥当性、その内容の順守状況の順序で見ていく。市長クラスの責任になるのは、BIPROGY社に委託契約するにあたって、どれだけ管理が行き届いていたのかということになる。

②情報管理対策について
　①の裏返し。ルールがなければルールを作る必要がある。そのルールについては内容の妥当性を検証する必要がある。その遵守についてどれだけの強制力をもった管理手法を構築できるのか？というところ。

そもそもどれだけセキュリティについてハイテク対策を用いたところで、情報を取り扱うのが人間である以上、情報漏洩発生のリスクはゼロにはならないし、できない。出来もしないゴールを目指すのは非合理的である。

・「漏洩をさせない、漏洩しにくい対策」
（1名任せではなく常に複数名による管理、データの安易なコピーの禁止、仮にコピーしてもメディアの持出を許さない、手荷物検査、データにアクセスした日時や人間のID管理　などなど）

とは別個に

・「漏洩をしたら即座にわかる対策」
も必要だろう。今回も現に担当社員が報告せずに1日休んで探していたという話がある。「責任を感じて」というよりも「責任を隠そうとして」のものであろう。

・「流出しても平気にする対策」
というのもあるにはある。単純だが「ダミー情報を混ぜておく」というものだが、これはデータ取り扱い側の管理が大変になってしまうし、作業ミスも増えてしまうのでなんともいえないか。例外的にデータ持出をする時のみダミー情報を加算するとか。
身代金でとられたお札の束の上下の2枚目にダミーを入れておくとかGPS追跡できるようにするとかみたいな。


③背景への邪推
わざと情報を流出させた可能性も疑いたい。「外国人詐欺グループ」あたりの手に渡っていると取り返しがつかない。「USBも見つかったし、流出の痕跡はないからよかった」で済む話ではない。