早稲田アカデミーの盗難事件にみるセキュリティの問題点：萩原栄幸の情報セキュリティ相談室（3/3 ページ）

[萩原栄幸，ITmedia]

未来における問題点

　さて、「情報」に対する補償をどこまで行うべきなのだろうか。その観点は「迷惑料」と「漏えい」になると思う。

　この事件で考慮すべきは、「スマートフォンの情報をどう認識するのか」「単純なモノの盗難か、それとも子どもの情報入手も目的か」である。金儲けを狙ってモノを盗んだという事件なら、犯人は海外などの買い手に売り付けるだろう。盗んだ情報で、さらなる金儲けを狙うことも考えられる。犯人がロックを解除して所有者の情報や友人のアドレスなどの情報を「受験生データ」として裏名簿屋に売り払うかもしれないし、犯人が詐欺行為に悪用して荒稼ぎする可能性もある。

　この辺の対応は、まず警察と相談して盗まれたスマートフォンの機種や型番などを記した手配書を中古業者に提供し、“網”にかかった端末を回収するか、流通元を突き止めるといった作業になるだろう。どちらにしても今回が単純な盗難事件で収束する可能性は低い。長い時間を要する後始末作業が必要になる。

過去における問題点

　そもそも同社は夏合宿でホテルを貸し切っているにも関わらず、貴重品の取り扱いについてその方法をきちんと準備していなかったようだ。

　個人客ならフロントに預けるか、部屋の金庫に預けるなどの対応になる。だが今回は生徒の集団であり、塾側は勉強に専念させる方針から期間中における生徒の携帯電話などをどう管理するのかについて、ホテル側と詳細に事前協議して決めておくべきだった。だが、昔からの習慣で「悪いことをする人はいない」との論理から、「取りあえず預かって合宿中は使えなければいい」と安易に考えていたと思われる。

　なぜ、ホテルにその管理を依頼するという配慮がなかったのか。もし塾側が自前で管理するというなら、講師以外の事務員を複数人配置し、「施錠した保管庫＋鍵のかかる部屋＋人による監視」と幾重にも防御するのが当然である。諸外国であれば当たり前にやっていることだ。

企業が学ぶこと

　われわれは、早稲アカの事件を決して「対岸の火事」と見てはいけない。いつでも自分たちが遭遇する可能性のある事件ととらえ、適切な体制やコンティンジェンシー（緊急時対応）、そして事業継続を含ませたプランの見直しをすることが肝要である。

　基本的な考えとして、まずリスクヘッジの観点で「いかにしてリスクを平準化、細分化、低減化、すべきか」を再検討する。金銭で解決できるモノはいいが、金銭では解決できない「情報」「プライド」「尊厳」などは加害者も被害者も苦しむ元になる。セキュリティ対策の多層防御ではないが、幾つかの防御方法を考え、ホテルに委ねるもの、自分たちが管理するものというように、リスクを分散させることを考える。

　また、全ての行動に「企業人としての責任」が伴うことも心得る。報酬を伴わないボランティアでも、それなりに責任や義務が生じる。まして経済活動を推進する企業人には、どんな些細な行動にも責任がある。場合によっては、想定をはるかに超える責任が生じることも多い。“行動の棚卸し”もしておきたい。

　最後に、「常に先を読んだ行動」が求められる。今回のケースでいうなら、「盗難＞探す＞無い＞警察」というシングルタスクの考えは、企業人としては失格だ。常に先を読み、幾つものケースを想定して行動する。「盗難」なら捜索するチームと、発見できない場合の対応を準備するチームに分けて動く。

　後者のチームなら、「どんな作業が必要か」「なにを準備するか」「情報はどこに一元化するか」といったことはもとより、あらゆる関係先（生徒、保護者、ホテル、警察、他のホテル、本部、マスコミ、弁護士……）それぞれとの紐づけを意識しながら複数の対応プロセスがとれるように、そのシナリオの分岐点などを網羅的に検討しておく。こうして手順を用意しておくだけでも、スムーズな対応がしやすくなるだろう。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。