1.物理的ハードウェアの盗難(書類含む)
2.メールの誤送信
3.外部からのクラック(自由に参照できる状態含む)
4.内部からの持ち出し
1.は、パソコンそのものや、通知表、答案用紙といった紙の書類の盗難である。これは防犯責任も問われるところではあるが、物理的な「窃盗」なので、解決できるかどうかは別問題として、事件として警察が動くことが可能である。
もっともこれらの方法で得られたデータは、そもそも流出するかどうかも分からない。ただパソコンがほしかっただけの人間にとって、中にあるデータはどうでもいいかもしれない。また書類ではデジタルデータとして再入力しなければならず、それなりに手間もカネもかかる。犯罪としては、あまりオイシイ仕事ではないだろう。
2は最近少なくなったようだが、同報メールを送信する際に、誤ってC.C.にメールアドレスおよび名前を列記してしまうケースだ。この場合、言ってみれば自分から漏らしたも同然なので、完全に「自爆」ということになり、事件としての立件は不可能だ。ほとんどの場合、あとから謝罪メールが来るぐらいである。
多くのサーバビジネスや、データ管理会社が成立しているのは、3のようなケースに対応するためのものである。
極論すれば、データを入れたPCはネットワークにつながない、ということが一番手っ取り早いのだが、デジタルデータを他のPCから参照できなければ、そもそもデータベースとしての価値が全然ないわけで、かならずどこかに穴が存在してしまうことになる。対する相手とはネットワークセキュリティに対する知識戦になってくるため、ほとんどの会社ではもはや専門家に任せて防止するしかないだろう。
3のパターンを防いでも、4のように直接データにアクセスできる人間がデータを持ち出す場合は、ネットワークセキュリティシステムなどで防ぎ切れるものではない。最近の大きな流出事件は、内部からの人為的な持ち出しが主たる原因となっている。会社側としては、社員として高い給料や、管理会社に高い経費を払っているにもかかわらず流出されたのでは、たまったものではない。
そもそも個人データを持ち出す行動原理には、二つある。一つは、自分の技術や知識の誇示といった、愉快犯的行動だ。
コンピューターソフトウェア著作権協会(ACCS)の個人情報が流出した事件で、個人情報を引き出したとして起訴された元京都大学研究員は、引き出した情報そのものをセキュリティ関係のイベントでプレゼン資料として公開した。さらにこの個人情報をこのイベントの配布資料に同梱したというから恐れ入った。
本人にしてみれば、セキュリティの問題点を訴えるための手段だったのかもしれないが、客観的に見れば、そこに自己顕示欲がなかったとはとても思えない。この研究員、逮捕時の年齢は40歳とある。おそらく筆者と同い年だ。
いい歳をした大人が、研究目的なら何でもやってもいいかということが、分からなかった。旧来の価値観では計れないネット上の権威と自尊心が人の判断を誤らせた例として、長く記憶されるだろう。
もう一つの行動原理は、お金である。データベースは、その情報が特定のバランスに偏っていればいるほど、利用価値がある。誰でも載せててものすごい数ばらまいている電話帳みたいなものには、あまり価値がないことの反対の意味だ。
金目当てで情報を引き抜いた人間は、当たり前だがそれをタダでネットに流すようなことはあり得ない。そこにはちゃんと裏名簿ビジネス市場があり、そこに多額の金が動くわけである。本来ならばこのような裏ビジネス市場の解体こそが、抜本的な流出防止対策であるべきだが、単に名簿を売買しただけでは、現行法で刑事事件として立件することが難しい。
日能研のサイトに8月28日にアップされたFAQによると、今回のケースも外部からの侵入ではなく、内部からの流出として調査しているようだ。また8月30日にアップされた状況報告によると、社内で調査したけど結局よく分からなかったらしい。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR