情報セキュリティ・・・人間には甘さもある
情報セキュリティ専門家のはずのIPA男性職員の失態
先日IPAがやっているソフトウェア開発技術者(SW:旧1種相当)の資格をとったばかりなのと、親戚がIPAにいるので(当該職員ではありません)、IPA職員の今回の事件には驚くばかりでしたが、情報セキュリティというのは本当に難しいものだと常々思います。
頭では分かっているんです。ファイル共有ソフトは絶対に使ってはならない、怪しいサイトには行かない、個人情報の管理には気をつける・・・・そんなこと分かりきっているんですよ。サルでも分かることです。ですが、それを忠実に守れるか、といえば人間が「感情」と「欲望」という厄介なものを持っている以上、限界があるのも事実です。大学の研究室やクラブ、自治会室で情報セキュリティ上の問題、そしてセキュリティと利便性との間で常に悩まされてきた人間としては、今回の問題は「あって然るべき問題」という感想をもっています。むしろ、業務情報が漏れなかっただけ、何重もの対策が功を奏したと言えるでしょう。病院では患者の個人情報が医療従事者の個人パソコンから漏れた、というようなことは山ほどありますし、私も何度となく医療従事者の危ない行為を見て見ぬふりをしてきました(なんせ学生の身分で言えることではない)。IPA職員の個人情報と患者の個人情報、どちらが情報としてcriticalかということを考えれば今回はまだマシなほうです。
ネットではバッシングがはじまっているようですが、バッシングしている人の中に危険度の高いウイルスに感染している人はどれだけいることだろうと思うと、バッシングがいかに無意味なことかはすぐに分かります。ウイルスを持っている時点で、IPA職員だろうが一般人であろうが、自身や他者を危険にさらしていることに変わりはないのです。それが現実であり、事実です。
もちろん、セキュリティを啓発すべき人間が規定を破ったということで倫理的問題を指摘する人も多いかもしれません。しかし、私は常々思います。社会は「やってはならない」とされていることをやって、あるいはやる人がちゃんといて、初めて成り立つものなのだと。事実、すべての人が法律や倫理を守って生きていたら、何の革新も生まれない、効率は悪い、国際競争には勝てない、ということで社会は崩壊してしまうでしょう。多くの人々は違法行為や倫理に反した行為に及んだ人々を糾弾します。それはそれで正しい。ですが、自分だって歩くときに信号無視の一つや二つはしているでしょうし、彼らの違法行為がなければ自らが便利で快適な生活を送れない事だってあるのです。
たとえば、病院や診療所では実際とは違う診断名を保険病名として記載することが少なからずあります。その診断名では、やろうとしている治療法に対して健康保険の適用がないからです。多くの医師の間では、この治療法はその病気に対してかなり有効とされています。しかし、健康保険で認められていない以上、健保からお金が出てきませんので、自費診療ということで患者さんにすべてを負担してもらうか、病院が自腹を切るか、あるいはその治療が保険で適用可能な虚偽の診断名をつけるかしか選択のしようがないのです。大抵は病院が自腹を切るか、別の診断名を書いています。もちろん、異なる診断名を書けばそれは虚偽の文書作成になるわけですが、こういう行為がなければ患者さんは安くて適切な治療を受けられないのです。
要は、違法行為も程度の問題です。やりすぎて凶悪犯罪が横行するようになれば社会は崩壊します。かといって、厳密に守りすぎても社会は崩壊するのです。