wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

エンドユーザーが感じる「セキュリティ,ここが不満」かー

何箇所か違和感を感じる。


個人情報保護法施行以降,USBメモリーやノート・パソコンは,本体よりも中身のデータの方が重要になった。Winny情報漏えい事件以降,自宅で作業は厳禁となった。
自宅で作業は厳禁、てのは、従来までのやり方での作業は厳禁、てだけで、何もかも禁止になったかといわれるとそういうわけではない。事情により自宅での作業を認める、という企業も出てきてはいる。
このあたりの話があるので、「自宅で作業を行うことについて、一定の歯止めをかけるようになった」というのが正しい。
あと、最後の一文がちょっとヘン。

・2007年3月に個人情報保護のガイドラインが改定され,情報漏洩させても暗号化などのセキュリティ対策を適切に行っていれば,免責されることがあると例示されている。
このあたりは、こじませんせいのコメントにも「免責されないのでは?」とあるけど、そのとおりだったり。あくまで「対象となる個人への告知を省略できることがある」だけである(参考:個人情報ガイドラインについて)。
たとえばガイドラインの中には、以下のような記述がある。


(エ)影響を受ける可能性のある本人への連絡
事故又は違反について本人へ謝罪し、二次被害を防止するために、可能な限り
本人へ連絡することが望ましい。
ただし、例えば、以下のように、本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がない又は極めて小さいと考えられる場合には、本人への連絡を省略しても構わないものと考えられる。
・紛失等した個人データを、第三者に見られることなく、速やかに回収した場合
・高度な暗号化等の秘匿化が施されている場合
・漏えい等をした事業者以外では、特定の個人を識別することができない場合
(事業者が所有する個人データと照合することによって、はじめて個人データとなる場合)
これをして免責というのは、ちょっと違う。

あくまで「省略できるプロセスの1つ」というだけであり、主務大臣もしくは事業者が所属する認定個人情報保護団体への届出は(ガイドライン上は)行うことになる。

漏えいさせないための日々の教育やしくみの整備ってのは当然としても、ひとたび事故が発生した場合には、その事故そのものへの対処(インシデントレスポンス)と、「それが再発しないためにどうするか」という「再発防止のためのアクション」というあたりの実施は必須。

どこまでを責任と捉えるかは、事業形態にもよるんだろうけど、にしても事故が起こっても「暗号化してあるからおしまい」てのはちょっと短絡的過ぎる。紛失に至った経緯と、その中からどのようにしたら再発を防止できるか?という検討プロセスを設け、実行するってのはどんな事故であっても必須であり、それがないと「ヤバいもの」という意識がだんだん薄れ、管理もずさんになってくる。

…お題の中には、セキュリティ面だけではなく、コンプライアンス面からも結構ヤバめの内容が含まれてたりする。けど、それはまたいずれw
あと、情報の価値については、4年くらい前にも書いたけど、それの再考もまたいずれww