何年か前、職場にかなり遅い時間に怪しい電話がかかってきました(名前はすべて仮名)。
「山田と申しますが、佐藤取締役様のご自宅のご住所と電話番号をお教えいただけませんでしょうか」
「申し訳ございません。あいにく佐藤は本日、もう帰宅いたしましたが」
「いえ、それは存じておりますが、佐藤取締役様には大変お世話になっておるものでございまして、お歳暮をお送りいたしたいと思い、ご住所をお教えいただけないか、と電話した次第です」
「大変申し訳ないのですが、そのようなことでしたら直接佐藤の方へお訊きいただくのがよろしいかと思いますので、山田様へご連絡差し上げるようお伝えましょうか?」
「いえ、それはちょっと困ります」
「では、明日の午前中でしたら佐藤は在席している予定になっておりますので、お掛けなおしいただけませんでしょうか」
「わざわざ佐藤取締役様のお邪魔をするほどのことでもございません。ご自宅の住所と電話番号だけ頂戴いただければ…」
「申し訳ございませんが、佐藤本人の許しを得ずにお教えするわけにはまいりません」
「あなた、お名前は?」
「Leptonと申します」
「Leptonさん? そんなことでいいの? 私が佐藤取締役に、あなたからひどい扱いを受けた、って言いましょうか? そしたら困るのはあなたですよ?」
「いえ、ですから、直接佐藤にお聞きください、と申し上げているのですが。こちらからご連絡差し上げるように佐藤に申し伝えましょうか?」
「だからそれは困ると言っているでしょう?」
なんとなく水商売風の女性からの電話だったのですが、これはいったい…。そのあと、件の佐藤取締役は「誰だよ、俺の家の住所を教えた奴は…」って怒っていたから、誰か教えちゃったみたいです。その後、佐藤取締役にどんな修羅場があったのかは…知りません。
住所と言えば、以前は社内で「役職員名簿」なんてのを作って、年末に皆に配っていました。年賀状を出したりするときに使いなさい、ってことのようだったのですが、ある人物が、親しくしている「保険のおばちゃん」(いや「おねーさん」だったかも知れませんが)にその名簿を渡しちゃった、という事件もありました。
名簿には、住所・氏名・電話番号・部署・役職はもちろん、家族構成や出身校(○○大学○○年卒まで ←なんでこんなものまで??)が載っていて、営業用資料として保険会社に大変有益に使われてしまったようで、かなり問題になりました。
で、聞くところによると、その名簿を渡した人物は叱責を受けたようなのですが、そりゃ渡す方も渡す方だけど、そんなおいしい情報満載の「役職員名簿」を作って、しかも表紙に「マル秘」とも「社内限」とも書いてなくて、家に持ち帰りOK(←年賀状用だから当然)、なんてところの方にかなりの問題があったように思えます。
と、全然コンピュータに関連しない話を書いたのは「ファイアウォールが必要なのは『マシン』より『人』」というコラムを読んだからだったりするわけで、Yahoo!BBをはじめとする昨今の派手な顧客情報漏洩は内部犯行であることはほぼ間違いないわけでして、まあ何と言いますか、人づてに情報が漏れるのを防ぐのが一番困難なのかも知れません。
私もかなり前に、不正に顧客情報を取得しようとするなら、「顧客情報システムの開発・維持・管理を行っているところの人間に目を付けて、顧客情報のデータベース全部を持ってこさせるように仕向けます」なんて書いたことがありますけど、いままでこういう手口があまり問題になってなかった方が不思議とも言えるのではないか、と思います。
ただ、これに対する有効な対策というのが実はそんなに無さそうなところが、悩ましいところかも知れません。そういう顧客情報を扱うシステムの開発・運用を行う人間は、外部から一切遮断された(インターネットも電話も不可とか)空間で仕事を行い、入退出時には念入りにボディチェックを行い、私物は一切持ち込ませず、仕事場からは一切の物を持ち出させず、なんてことまですれば防げるかも知れませんが、今の時代、それでまともな仕事ができるか、と言うと、まあ無理でしょう。
そこまで極端にならずとも「(情報漏洩を防ぐために)出来ることからやろう」という話はよく耳にします。たとえばPCのフロッピーディスクドライブに鍵をかけて使えないようにしたり(←そのわりにUSBには機器を接続し放題だったり)、外部への送信メールをスキャンして特定の文字列が無いかどうか調べたり(←暗号化してたら?)、抜き打ちで所持品検査したり(←中学校かいな?)、こういうのを考える人って「やらないよりはマシ」とでも思っているのでしょうかねえ。
ザルの網の目を2個や3個(いや「20個や30個」でも「200個や300個」でもいい)塞いだところで、あまり意味が無い上に、仕事の意欲や生産性が下がるだけのような気がするのですけど。そんなザルの網の目を塞いで水を止めようとするより、むしろザルの上の方から落ちてくる水を止めないとほとんど無意味ではないだろうか、と…いや、それができれば苦労はしない、というのはまあ理解できるのですが、だからと言って無数にあるザルの網の目を塞ごうというのも、不毛な努力のように思えます。
まあしかし、漏洩する顧客情報も住所・氏名・電話番号あたりだったらまだいいとして(←よくない、よくない)、決済に使っているクレジットカードの番号も漏れたりしたらえらい事になりそうですね。いま時のインターネット通販など、「氏名」「クレジットカード番号」「クレジットカードの有効期限」さえわかれば、現物のカードがあろうが無かろうがとりあえず決済できてしまうわけで、かと言ってクレジットカード番号などそうそう簡単に変更できないだろうし、数十万・数百万件規模でクレジットカード番号が漏れたら(←ありがちかも知れない)、いったいどうするんだろ?
2004.4.5補足
「クレジットカード番号などそうそう簡単に変更できないだろう」と書いたら、「簡単に変更できますよ」というご指摘をいただきました。問題は、月々の支払のために登録してあるカード番号を全部変えていかないといけないことかな、と思います。そんな作業があちこちの会社で何百万件も発生した日には…。