「情報漏洩(2)」と「(2)」が付いているということは、当然「情報漏洩」という駄文もありまして、それを書いたのはもう3年近く前のことになります。
その後もこの種の情報漏洩は後を絶たず、最近では富士通から防衛庁関連のネットワーク構成図が流出した、なんて事件もありましたね。
その防衛庁の事件、私も詳しいことは知らないのですが、ノートPCにデータを入れて持ち出した(データの入っているノートPCを持ち出した、と言った方がいいのかな?)、というようなあまりにも単純な手口ですねえ。それ以降、「ノートPCを持ち歩いている人」=「情報漏洩に関わっている人」というような単純な図式ができつつあるような気もしてきます。私のようにほぼ常時ノートPCを持ち歩いている人間にとっては、ちょっとそれは勘弁して欲しい、と思うわけです。
そんな折り、私が前に書いた駄文「情報漏洩」を読まれた方からこんなメールを頂きました(ご本人から許しを得た部分だけを引用しておきます。内容が内容なだけにメールを送られた方の名前は伏せます)。
先日の防衛庁の情報漏洩の事件はご存知のことと思います。私の勤めている会社では、具体的にはお話できませんがある公的機関のシステムを受注しておりまして、この情報漏洩事件が問題になりました。
いまのところそういう事件は発覚していないのですが、あまりにもセキュリティ問題がおろそかになっていて、いつそういった事件が起こっても不思議では無い状態でした。職場への入退館もフリーパスですし、もちろん機器の運び出しについても完全にフリーです。
ところが先日のことですが、私が帰宅しようとすると、ビルの出入口のところに人だかりができているではないですか。近づいてみると抜き打ちの荷物検査と称して、退社する人の鞄を調べていました。そして、フロッピーディスクとノートパソコンの2つが発見されると、それが会社のであれ私物であれ、すべてその場で預かる、というのです。どういうことか、と側にいた総務課の課長に問うと、「会社からフロッピーディスクやノートパソコンをもちだすことはまかりならん、という社長の指示でやっている。中に機密情報が入っていないか確認の上、数日後に返却する」ということでした。
いくらなんでも、いままでそういうことを全然やってこないでいて突然そういうことをするのは横暴なのではないか、と総務課長に詰め寄っている人もいましたが、「社長の指示だ。社則にも『荷物検査をやることがある』という旨、明記されている」ととりあってくれません(どうやらその社則も数日前に広報もなしに付け加えられたもの、ということが後に発覚しました)。
そのとき、私はLeptonさんと同じようにノートパソコンを持ち歩いていたので「困ったな」と思いました。そして、総務課長に「自分もノートパソコンを持ち歩いているが、別に会社のLANに接続したわけでも無いし、そもそも接続する機器を持ち歩いていない。パソコンの中には会社に見せるたくないプライバシーに関わる情報も含まれている。そもそもパスワードが分からなければ中を見れないようにしてあるのだが、それでも預かるのですか?」と言ったのですが、課長は「とにかく預かる。そんなに嫌がると、逆に『機密情報を持ち出しているのではないか』と疑われるぞ」と全く埒があきませんでした。
仕方が無いので預けました。BIOSのパスワードも設定してあるし、Windows 2000のパスワードもあるので、パスワードが分からなければ中身を見られる心配はあまり無いと思って。ちなみに、そのパソコンはまだ帰ってきていません。
ううむ、「ここまでやるか?」というような話ですね。社長の鶴の一声のようですが、あまりにも社長が分かっていない、という気がします。従業員組合でもあれば、それを経由して抗議したほうがよさそうな気もします。
メールには、ここで引用した部分以外にもいろいろと書かれていまして、没収(?)対象はフロッピーディスクとノートPCの2つだけで、CD-RやMOなんかは対象外だったようです。これだけでも、この検問がザルと言うか、その2つだけを徹底的に調べて何かいいことがあるのでしょうかね。
悪意を持って機密情報を持ち出そうとする人間なら、もっと見つかりづらい方法を取ると思うのですが。前に書いた駄文ではMOなんかなら簡単に隠し持てる、という話を書きましたが、それから3年近く経って、数百MB以上のデータの記録できるメディアはかなり増えてますし、大きさも小さくなっています。例えば、スマートメディアやSDメモリカード。書き込みだって、USB接続のカードリーダなんかでお手軽に出来てしまいます。切手よりすこし大きいくらいのSDメモリカードなんか、隠そうと思えばどこにでも隠して持ち出せます。口の中に入れたって持ち出せそう。
「仕事に関係の無いものだったら、そもそも職場に持ち込むのがおかしい」とも言われたそうですが、んじゃ、PDAなんか仕事で活用している人も多いと思うし、それはどうなるんでしょうかねえ。PDAとPCは簡単に接続できるでしょうし、それに大容量のメモリカードを挿しておけば、簡単にデータを持ち出せてしまいます。
ただ単に、今回の防衛庁事件がノートPCだったから、ノートPCを目の敵にしているようにしか見えないのですが、そういう問題じゃないでしょ、と思うわけです。職場において、当人が本来見る必要のない機密情報が、その人が自由に扱えるコンピュータのところまで来てしまったら、悪意さえあれば簡単にその機密情報を持ち出すことが出来てしまいます。その手口なんでいくらでも思いつくわけで。
というわけで、「ノートPCを持ち歩いている人」=「情報漏洩に関わっている人」というような単純な図式が形成されるのが嫌なので、こんな駄文を書いてみました。
ノートPCを持ち歩いて、それをいろいろと活用している人も多いわけで、そういう人を雇っていることは、その会社にとっても(間接的には)利益に繋がっていると思うんですけどねえ。
え? 「おまえは毎日ノートPCを持ち歩いて、何にそんなに活用しているんだ?」ですか? そりゃあもう、大活躍してますよ、ノートPC。電車の中で、前日にダウンロードしておいた「2ちゃんねる」のスレッドを読(以下略)。