風邪っぽい?ミョーにだるい
また別モンの病原体もらった?(汗)
あちこちで漏洩が発生してますが、対応時に見落とされがちなこと
情報漏洩の際に、「漏洩した情報に掲載されている内容」で影響を受ける人や、漏洩した情報をもとに引き起こされる事象(想定される事項)に対応するってのは、(普通に)行われます。これがされないのは論外としても…
見落とされがちなのは「つこうた当人」のフォローアップ(つこうた場合ね)。
こうした場合、どうしても「漏洩させるやつが〜」という文脈になりがちなのですが、一般的にインシデントを発生させた人(つこうた人)に話を聞くと、「漏洩させてやった」という人は出てきません。ほとんどが「こうなるとは思ってなかった」というところです*1。
一般的に、脆弱性を突かれてコンピュータを攻撃され、そのコンピュータを攻撃に使われた場合には、そのコンピュータ(の利用者)は被害者であると同時に他者への加害者にもなってしまう、という事故の特性を持ちます。
暴露ウィルスによる情報漏洩の場合も一緒で、つこうた人は「情報漏洩による被害を引き起こした人」(=加害者)という側面とともに、「暴露ウィルスに感染させられた人」(=被害者)という側面も持ちます。
もちろん、なぜにnyなりを使ったのか?という動機や、「つこうた」状態にならないような対策をどうやったか?とかその他多くの点において瑕疵がある、という話はあるでしょうが、それでもウィルスによる被害を被ったという点において被害者なわけで、この点を抜きにした対応を行うことは到底考えられないというのが正直なところです。
実際に事故対応を行う際には、この部分についても留意の上、当事者のケアを行う必要がある、と強く感じてるので、あえて書いておきます。
自業自得という見方もありますし、この点について否定するものではありませんが、それでも「周囲の対応が首吊りの片棒を担ぐ結果になった」とかいう状態は気持ちのいいものではないので…。
ちなみに会社組織においてこういう話が出たときは、(世論の調子にもよるとはいえ)基本的には内規に従って粛々と対応する、というのが通常です。
#そこで感情に駆られて(必要以上に)厳しい対応をするような組織は、もはや
#組織とはいえない気がしますし、正直このテの事案において「メシウマ」とい
#う言葉を見てると、このあたりの痛みがわからない人が増えたのかなぁ…とい
#うようにも思います。
なお、上記の話は「ファイル共有ソフトウェア」による(違法な)ファイルのやりとりを容認するものではなく、あくまで「一般的な事故対応の1つ」として考えなきゃいけないことには「こういうこともあるよね」ということを述べるものでした。
*1:「自分は大丈夫だと思ってた」という人もいますが、「こうなるとは〜」とほぼ同義かと。
事例によらず、リンチはいくない
確かに「同情の余地がない」と判断されても仕方はない事例もありますが、だからといってリンチ状態に持っていくのは反対だったりします。
もちろん、漏洩したデータによって、直接的/間接的に何らかの被害が出てくる人に対しては、救済や対応を行うというのは当然やられる前提ですが…
漏洩させた企業なりに対して非難なり苦情が集まるのは当然のことです。ただそれは、「正当な」抗議なりの活動の上で行われるべきものであり、決して「付きまとい」や「無言電話」「誹謗中傷系のビラまき」などを容認するものではありません。
そりゃまぁ、そうしたくなる事案があるのも理解はしますが、だからといってそのような行動に出るのは「そういう行動に出た当人の権益を損ねる」結果にもなりえます(近隣住民に通報されて、損をするのはそういう行動に出る人)。
つこうた件とキンタマウィルスに関する仮説
つこうた件と、Winnyが持つ(プログラム上の)脆弱性について、(たまに)混同する人がいるのですが、「つこうた」件については、存在する脆弱性について「開発者が対応できなくなったからそうなった」という話にはならんと考えてます。
仕様を脆弱性というのであれば、そりゃそのとおりかもしれないのですが、その仕様を(今のny利用者にとって)不都合な形で改修したバージョンは、邪魔としか映らない機能を搭載したバージョンは、(おそらく)使われないでしょう。そういうのを使う人の立場に立つのであれば、目に見える不利益が出てくるまでは、古い(要は今使われている)バージョンを使い続けるでしょうね。目に見える不利益を上回る利便性なりボーナス機能が実装されていれば話は別ですが。
次にキンタマウィルスの話。オレとしては、(流通ファイルの)名前や挙動から、以下のような説を持っています。
もちろん、「冗談にしては悪質すぎる」とも思ってますが、最初はそんなところなのではないでしょうか。
なぜ「当事者のフォロー」が必要なのか
それがすべてとはいわないまでも、オレが知る限りの事例を俯瞰的に見た場合、「最大公約数的にやらなきゃならないことの1つ」として考えられるのがそこだから。前にも書いたけど、首吊られたらまた騒ぎが大きくなるわけで。情報漏洩が元で首を吊られるのも嫌ですし、そのデータが元で何か事件が起きるってのも嫌ですが、漏洩させちゃった人が首を吊るってのもそれは嫌なものです。
で、漏洩情報の母集団によって、その騒ぎなり不安が、何らかのバイアスがかかった形で出てくるというのがお決まりのパターンです。
ただ、(私見ではありますが)どのようなバイアスがかかろうと、漏洩させちゃった人のフォローってのは(場合によっては漏洩させられた情報の持ち主のフォローと同じくらいの優先度で)行わなきゃいけないし、そうしないと再発防止もなかなか打ちづらいという状況になりえます(「なぜ」漏えいさせちゃったのか?てあたりがわからなくなる危険性があるので)。このあたり、組織を運営したり、集団を統率したりする立場の人はよくわかると思います。そうでない人や「関係ない」人は、感情に任せて石投げたり、「面白いから」煽ってみたりということをする可能性があるので始末に負えないわけですが、漏洩の中心にある組織なり会社がやらなきゃいけないことは、被害者のフォロー(救済)、組織防衛、そして漏洩させちゃった当人のフォローです。
やっちゃった人を罰することが一義ではないはずなんで、対処にあたって「(当事者以外の)世間の声」を必要以上に意識する必要はないかと。
もちろん、根拠ある抗議(そんなことをするような会社には、情報を預けられないなど) には、誠意を持って対応するほかにないわけですがね。
ついでに言うならば、「漏洩させちゃった人」ってのは、その事実と漏洩内容、そして影響度を告げられると、たいてい「こんなことになるとは思ってなかった」となり、落ち込むのが通常かと。そこに(通常の処分内容を超える)塩をすりこむとか、さらなる追い討ちをかけるというのは、理性ある人がやることとは到底思えません。
なので、「対外的なフォロー内容、方法のさらなる検討、拡充」に加え、「内部的なフォロー内容、方法のさらなる検討、拡充」という話は必須になるというのが僕の認識です。
漏洩させちゃった人に物申すことが出来るのは誰?
情報を漏洩させちゃった人に物申すことができる人は、情報を漏洩させられちゃった被害者だと思ってます。
もちろんこれは、社会的な影響とか業界に対する影響とかを勘案しなきゃいけない部分が多分にありますが、ガイドラインに記述された漏洩時の対応を見ると、何がなんでも「当事者以外の(不特定多数な)面々に対する説明」をしなきゃいけない、という話にはなりません。これは、以下のガイドラインのP.26から始まる「事故又は違反への対処」を実践するために講じることが望まれる手法の例示」を見ても、そういう内容はありません。
このことを無視して、自分の身元も明らかにせずに「事実関係を公開せよ」と迫る人は、ぶっちゃけスルーしても無問題かと。逆に「情報を漏洩させられちゃった人」に対しては、対応を行う必要が(当然ですが)あります。
・個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
http://www.meti.go.jp/policy/it_policy/privacy/080229kaisei-guideline.pdf
一応、該当部分を引用しますと
(ア)事実調査、原因の究明
(イ)影響範囲の特定
(ウ)再発防止策の検討・実施
(エ)影響を受ける可能性のある本人への連絡
(オ)主務大臣等への報告
(カ)事実関係、再発防止策等の公表
というように、対処には6つの内容を含む話になるわけですが、このうち(カ)については、以下のような但し書きがあるわけです。これが、必ず公表の必要があるわけではない、とする根拠。
ただし、例えば、以下のように、二次被害の防止の観点から公表の必要性がない場合には、事実関係等の公表を省略しても構わないものと考えられる。なお、そのような場合も、類似事案の発生回避の観点から、同業種間で、当該事案に関する情報が共有されることが望ましい。
*1:「高度な暗号化」は、CRYPTREC(http://www.cryptrec.go.jp/)あたりで公開してる「電子政府推奨暗号リスト」あたりで公開されている内容を参考にすればよろしいかと(もちろん、危殆化って問題はありますが)。
*2:最後のやつは「漏れた情報だけでは『個人情報』にはならん」パターンなんかがそれにあたるかと。例えば単に「どっかの会社から顧客番号と購入物品リストがもれた」とかだけであれば、それは機密情報の漏えいにはなりますが、個人情報の漏えいにはならない。
