第40回 なぜ日本で理想的なセキュリティ対策が実現しないのか？：日本型セキュリティの現実と理想（3/5 ページ）

[武田一城，ITmedia]

情報セキュリティはなぜ被害者も非難されるのか？

　情報セキュリティの事件や事故では、攻撃や不正の被害者といえる組織の幹部が、マスコミの前で謝罪することが珍しくない。これは情報セキュリティ特有のものだろう。窃盗や誘拐、殺人の被害に遭ったら、悪いのは加害者で、被害者は同情されても非難されることは滅多にない。被害者側に過失があったとしても、それはそれとして、やはり「罪を犯した方が悪い」という常識的な世論が形成される。

　しかし、情報漏えいの場合は被害者が非難される。謝罪と損害賠償はもちろん、再発防止のために莫大なコストを費やさなければならない場合も多い。それらの対応が適切になされたとしても、企業のブランド価値や顧客数といった有形・無形のさまざまなものが消失し、その回復は簡単にはいかない。

　特に漏えいした情報が個人情報だった場合は、個人情報保護法に基づいて漏えいの事実を公表しなければならないし、法律に沿った処罰や「Pマーク」取り消しなどの処分を受けることもある。企業や組織に同情の余地があったとしても、彼らは利益を生むために個人から大切な情報を預かっている立場であり、適切に管理できていないことで、より多くの人々が不利益を被るのであれば、多少の批判を受けるのは致し方ないだろう。

　ただ、SNSなどの書き込みや報道の中には目に余るバッシングも多く、特に公的機関などの情報漏えいに対しては厳しい。とはいえ、セキュリティ対策に完璧なゴールが存在しない以上、度を越えたバッシングは考え物だ。公的機関の場合、セキュリティ対策費用は国民の税金などから出ているのだ。やり過ぎの非難は、回りまわって国民の不利益につながってしまう。

個人情報とは異なる機密情報の漏えい

　漏えいしたのが個人情報ではなく機密情報だった場合には、公開の義務はない。基本的に機密情報の保護は、その企業や組織の責任において行うべきものであり、損（被害）をするのはその企業や組織だけなので、罰則などのおとがめはないということなのだろう。

　機密情報の漏えいは、企業や組織の価値が大きく損なわれることはいうまでもないが、その被害の全容を把握することは難しい。そもそも公開しなくてもよいということは、漏えいした事実も秘密になるということであり、国防機密など公的機関が関係する事件報道や時には数千億円にもなる民事訴訟がある場合でしか、一般に知られることはない。

　さらに、企業や組織が気付かないうちに漏えいしている機密情報は判明したもの以上に数多くあるはずだ。公にならないケースと当事者が気付かないケースによって、日本各地で甚大な被害が多発している可能性は高い。とはいえ、機密情報の漏えいを公表したことで、攻撃者がその情報の価値をあらためて認識してしまう場合もあり、法律などで公開を義務付けるといった単純な話にはならない。

　なお、何かと騒がれる個人情報ではあるが、実はそれを売りさばいたところで攻撃者が大儲けできるわけではない。その情報が直接利益につながるものではないので、単価が安いからだ。2014年に発生した内部不正による膨大な個人情報の漏えい事件では、数千万件の個人情報を窃取した犯人が手にした見返りは200万円にも満たなかったという。

　そして、そもそも企業や組織が管理している情報の中で、個人情報の重要度はそれほど高くはないのだ。医療など重度のプライバシー情報を除いて、一般企業などが所有している住所やメールアドレスなどの個人情報が窃取されても、その影響はリストの売却による電話やダイレクトメールが送られてくるぐらいだろう。このように攻撃側やそれらを売買する人々にとって、個人情報は高度な攻撃を仕掛けてまでほしいものではないだろう。

　それに対して、機密情報の漏えいの場合、その影響は深刻である。国防機密なら国民の生命や財産に関わるし、経営や事業の機密情報なら将来を含めた利益を逸失することになるのはいうまでもない。

一般の被害と個人情報、機密情報の漏えい時の違い