情報漏洩などのインシデントは、なぜ起きるのか

超が付くほどの大企業でさえも情報漏洩は発生しているようです。
最近でも、とある大企業の情報漏洩がニュースになっているようですが、なぜそのような事件が発生するのでしょうか。

派遣社員である事が多いようだが…

派遣社員の人や、派遣業界を悪く言いたいわけではありませんが、多くの事件において、派遣社員が情報の持ち出し等を行っている事が多いようです。
ただ、その人が本当に「派遣」だったのかも気になる所です。

IT業界におけるプログラマーは、このプロジェクトには何人のプログラマーが必要かという、いわゆる人月見積もりが行われ、プログラマーが集められてきます。
その手段のひとつとして派遣があるのですが、場合によっては準委任契約によって現場に配属される場合もあります。

むしろ準委任契約の方が多いようで、その場合、1人の作業員に複数の会社が関わっている事が多いようです。
もちろんそれが派遣であれば多重派遣で罰せられますが、準委任契約の場合、あくまでも「案件の下請け」であるためセーフなようです。

ただ、1人に複数の会社が関わっているという事は、決して好ましくないのも事実です。
中間搾取により、その作業者の報酬が減ってしまうのはもちろん、責任の所在が曖昧になるからです。
多重派遣も、このような理由で禁止されています。

ただ、このような作業員の集め方が業界の当たり前となっているようなので、黙認されてしまっているのが事実です。

「派遣」と公表される理由

多くの事件では「派遣」と公表されていますが、派遣と言わざるを得ない事情があるのでしょう。
わかりやすいように「派遣」と言っているのかもしれませんが、準委任契約であった場合、偽装請負の可能性が疑われます。

準委任契約であった場合、現場の人間は、その人に対し誰も指揮命令が出来ない状況にあります。
その現場にいる限りは、現場の人間は口を出す事が出来ないわけがなく、必ず何かしらの指揮命令が発生しても、おかしくない状況です。
その作業者に対し指揮命令をしてもいいのは、その人と同じ所属元の人や現場責任者だけです。
1人で配属する場合、自ら現場責任者を兼任するという事は出来ない事になっているため、１人だけでの配属は偽装請負扱いになるはずです。

そのような理由から「派遣」と言わざるを得ないのではないかと考えます。
そうでなければ、偽装請負の点でも問われる可能性が出てきます。

危険性

システムエンジニアがプログラマーへの仕様書を作成したら、次は集めたプログラマーに仕様通りに作らせればシステムは完成する。
そう考えるのは甘いです。
プログラムは、人によって書き方も異なりますし、最終的なゴールはあってもそれまでの過程は無限と言っても過言ではありません。
なので、プログラマーが必ずしも「仕様通り」のプログラムを書くとは限りません。

プログラミングという業種は、システムのほぼ全権限を預かる業務でもあります。
つまり、データベースからデータを抜き取り、それを何等かの方法で外部に送るようなプログラムや、外部から全権限を持たせてアクセス可能にするバックドアを仕込む事さえ可能です。
腕の立つプログラマーなら、それを難読化しつつ仕込む事も可能なはずです。
または単純にデータベースの中身を抜き取るか。そのためにはデータベースに直接アクセスするのではなく、テストと称して開発中のアプリケーションにデータを抽出するコードを書いて実行させれば、不正なアクセスかどうか見分けも付きにくいでしょう。

とにかく、いくらデバイスの持ち込みを規制しても、何等かの方法でデータの持ち込みや不正コードを仕込む等の方法は可能なはずです。

最大の対策は信頼できる組織の構築

エンジニアは派遣が当たり前、特にプログラマーは人数集めてくるのが業界の常識のようになっているようですが、ハッキリ言ってそれ自体が間違いであると私は思います。

社内でシステム専門の部署を作り、正規雇用で十分な待遇でエンジニアやプログラマーを募集する。
または、正規雇用のエンジニアやプログラマーを雇用した専門の企業が出来、その企業に対して依頼が行えるといった形にする必要があるでしょう。

エンジニアやプログラマーは人数だけ集めても早く出来るわけではなく、そのシステムに対する知識や分析能力が重要になってきます。
ひとつのシステムに数百人もの人数は必要ないので、社内で専門的に管理を行わせるだけでも、大きな負担にはならないはずです。

逆に、業者による引き渡しが繰り返され、どこの誰かもわからない人間にシステムを触らせているのが今のやり方です。
作業者も案件が終了すれば現場を離れる期間工なため、現在の案件に不快関心も持てないだけでなく、収入が不安定で情報の横流し等の犯罪に手を染めてしまう事も考えられます。
不安定な待遇では信頼性も不安定にしかなりません。

今までの正解が今の正解ではない

今までそうだったからと言って、それが正解だと言うのは愚かな話です。
今までやってきた方法は、そもそも間違っていたという疑いの目を向ける事も大切かと思います。
さもなければ、いくらデジタル推進とか言いつつ、このまま過去の方法に習っているだけでは、また同じ情報漏洩や不正利用を繰り返すだけです。

今やるべき事は、プログラマー等の一部作業者を派遣や準委任契約で連れてくるような、いびつな形から脱却し、
専門の部署か、専門の業者を作り、誰が担当したのか、担当した人間の身元がハッキリわかるように、
そして情報の不正利用に着手する必要のない待遇にするなど、情報も作業者も守れる環境作りこそが必要でしょう。

持ち込む機器を規制するなどをしても、何らかの方法で情報を盗み出すことは技術的には絶対に可能なのですから、それをしない人間や組織を育成する事が重要です。