セキュリティ以前の問題としての情報管理 ネットの信頼を低下させるお粗末企業の問題IT Business フロントライン (84)

» 2002年06月07日 12時00分 公開
[磯和 春美,@IT]

 いま、ある企業の発言がインターネット・ユーザーたちを呆れさせている。「この度の流出したデータを入手された方はお手数ですが削除いただけますようお願い申し上げます」──これは、5月に個人情報の大量流出が明らかになったエステティックサロン大手のTBCが、おわび文書としてWebサイトに掲示したものだ。この発言がわれわれを呆れさせる理由は3つあるのだが、当の企業側が果たしてそれを理解しているのかどうかは不明だ。6月3日現在、TBCはWebサイトのトップページにこの文言が入ったおわび文書を掲げ、それ以下のWebサイト本体は閉鎖している。

デジタルデータに関する無知

 呆れさせる理由その1は、一度オンラインに流出したデータの伝播力について、あまりにも無知であることだ。この呼び掛けにほとんどの人間が応じてデータを消去したとしても、たった1人がデータのコピーを保存しているだけで、そのデータはいつでもコピーされ人手に渡る可能性がある。しかも、逆説的だが持っている人間が少なければ少ないほどデータの価値は高まってしまう。そのため、裏で売買されたり、いつかどこかのアンダーグラウンドなサイトで公開されるかもしれないのだ。

 それになんといっても、デジタルデータはコピーだけでなく流布させる場合も、物理的な制約が生じる印刷物と違い、必要な時間(と労力)は比べものにならないほど小さい。今回、TBCのサイトから流出した個人データは約3万人分とされるが、それをCCP複写機でコピーして流布させる手間と、ダウンロードしたデータを電子メールやCD-ROMなどで他人に渡す手間を考えてみれば分かる。デジタルデータは流出した時点で、もはや致命的といえる。“消去”をお願いすればすむ、という場合ではない。

セキュリティ・ゼロに対する鈍感さ

 理由その2は、事の重大さを理解しているとは思えないTBCののんびりぶりが、この一言に凝縮されているからだ。これまでにも、Webサイトからの個人情報“流出”は何回か騒がれてきた。しかし、毎回指摘されるとおり、そのほとんどのケースは、実際には“流出”より先に、だれでも閲覧可能な状態にデータを“さらし続け”ていた企業側の人為的ミスが原因の大本にある。TBCはそうした自分たちのミスについてあまりにも鈍感すぎる。

 今回のTBCのケースでは当初、企業側の広報は「不正なアクセスを受けた」と、あたかも腕利きのハッカーにセキュリティを破られ、データを持ち去られたかのような発表をしていた。

 しかし、実のところは「http://www.tbc.co.jp/cgi/」という、少しでもWebの知識があればだれでも想像のつく場所に、アクセス制限も設けずに個人情報データをさらしてあったのだ。要するに誰でも入れる店舗のカウンターに置きっぱなしにしていた顧客名簿を見られたのを、「泥棒に入られた」と表現したようなものだ。

 似たような例は続けて報告されている。YKKグループのサイトでもアンケート回答者4万人分の個人情報が流出したとされ、こちらも「不正アクセスの疑いがある」と公表しているが、最初に個人情報“流出”を取り上げた掲示板の情報によると、やはりアクセス制限もないまま、Webサーバに個人情報をさらしていた可能性が強いようだ。少し前にはオンライン懸賞を行った食品メーカーで、個人情報が簡単に閲覧できることが分かり、利用者からの抗議が殺到したケースもあった。

情報マネジメントの不在

 呆れさせる理由その3は、流出データが極めて個人的な内容を含む重要なものであったにもかかわらず、それをまったく“管理”しようとしていないことだ。今回問題になっているデータが、いったいいつから、どういう状態で蓄積され、どれくらいのアクセスが外部からあったのか、一切分からないのである。関係者に取材した範囲では、TBC内部ではこの個人データについて、そうしたデータベース作成の記録も、アクセスログの保存も行っていないそうだ。

 他人のプライバシーを尊重しようという意識、それをきちんと保護・管理しようというマネジメントとセキュリティへの意識の低さは、こうした流出騒動を起こす企業に共通している。だから平気で、「流出データを消去してください」とお願いしさえすれば、問題ないと考える。

 こうした低いセキュリティ意識しか持ち合わせない企業は、同時になぜか、オンラインで流出したデータが悪用される可能性は「低いだろう」と、都合よく信じているらしい。想像力の欠如としかいいようがない。確信犯でデータを持ち去った人間は、「データを消去して」という被害者の呼び掛けに応じるはずがない。

 もし悪用された場合の対策、いうなればリスクマネジメントはどの程度考えられているのだろうか? 情報漏えい対策はもちろんだが、もしトラブルがあった場合にどうするか──そこまで考えるのがマネジメントというものだろう。

 こうなってくると、さまざまなショッピングサイトや会員制サイトで麗々しくうたわれている「プライバシーポリシー」とはいったい何なのか、まったく白々しく感じてしまう。自分たちがデータを“流用”しなくとも、他人がいつでも流用できるようなセキュリティ皆無のWebサイトを構築している企業を、だれが利用したいと思うだろうか?

 意識の低い企業の失敗によって、人々の間に「Webサイトは情報流出が起こりやすい」と忌避感を抱かせ、オンラインのマーケティング活動やショッピングなどを衰退させかねない。いま、「ユーザーの不信感」という形で、一企業にとどまらない最悪の影響が、じわりじわりと広がっている。その責任はだれにも取り切れないし、回復するには長い時間がかかるだろう。

Profile

磯和 春美(いそわ はるみ)

毎日新聞社

1963年生まれ、東京都出身。お茶の水女子大大学院修了、理学修士。毎日新聞社に入社、浦和支局、経済部を経て1998年10月から総合メディア事業局サイバー編集部で電気通信、インターネット、IT関連の取材に携わる。毎日インタラクティブのデジタル・トゥデイに執筆するほか、経済誌、専門誌などにIT関連の寄稿を続けている。

メールアドレスはisowa@mainichi.co.jp


「IT Business フロントライン」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ