最近ニュースに取り上げられる頻度が増えた印象のある「情報漏洩(機密情報漏洩)」による逮捕や懲戒事案。
かつて情報漏洩は、国家間の諜報活動や企業間の開発競争などといった組織間の争いでよく耳にする事案でしたが、近年は「小金が欲しかった」「有名になりたかった」「困らせてやりたかった」などという倫理観のかけらもない理由の事案が多数となっています。
背景には、手軽に扱えてしまう高性能情報端末や小型の記憶媒体などツールが発達したこともありますが、社会道徳や倫理観といった社会生活に必要な知識を教えない悪質な教育なども関与していそうです。
そしてこれが、故意に情報を持ち出す情報漏洩「事件」の手助けをするだけでなく、偶発的あるいは無意識に情報を流出させてしまう情報漏洩「事故」につながっているのではないかと考えています。
ここでは、情報が非常に多い「事件」のほうではなく、「事故」のほうについて情報をまとめてみようと思います。
いまさら聞けない、「情報漏洩」って何?
まず、「情報漏洩」とは何か、ということを簡単に説明しておきます。
小難しい表現をすると、「業務遂行において知りえた秘密情報を故意に外部へ持ち出すこと、あるいは過失により外部の人間が秘密情報を知りうる状態にすること」という感じです。
持ち出すことを「事件」、過失のほうを「事故」と分類することが多いようです。
外部からのネットワーク攻撃やマルウェアメール開封などで起こった情報漏洩は、被害者にとっては事故ですが加害者側は漏洩を目的として攻撃する事案のため、全体では「事件」に分類されることが多いようです。
このくらいの情報はネット検索などですぐ得られますが、いまいちわかりにくいですね。
実際の事案を参考にした、事例の仮想サンプルを書いてみます。
(事例1) 事件
ある会社員が、競業他社への転職活動を有利にする目的で、その会社で自分が設計担当したシステムのソースコードを私物の記憶媒体にコピーした。
(事例2) 事故
ある団体職員が、顧客Aに個人情報を含むデータをメール送付した際、誤って無関係の顧客Bらのメールアドレスを含むメーリングリストを使ってしまった。
(事例3) 事故
ある会社の設計担当者が、委託先の開発会社との間で行っているデータ送受信を手軽にする目的で、不特定多数がアクセスできるデータ共有ページに仕様書やソースコードなどの機密データをアップロードした。
(事例4) 事故(事案全体で見ると事件)
ある会社員が、顧客から届いた「納品書」というメールに添付されたファイルを開いたところ、業務用PCがデータを外部送信するマルウェアに感染した。
(事例5) 事件
あるPCリサイクル業者の社員が、持ち込まれたPC用の記憶媒体数点を盗み出し、データ破壊処理をしないままオークションサイトに出品した。
(事例6) 認定事案
ある製造会社のアルバイト従業員が、勤務先の「業務中の個人携帯・スマホ類の使用を禁止する」という就業規則を破り、社外秘とされている製造ライン内で何回も友人と通話をしていた。
わかる人は、このサンプルを見て「あ、これはダメ」とすぐ気づけるでしょう。
しかし、仕事をしていない人、何の気なしに仕事をしている人は、「え?!これが漏洩になるの?」などと思うかもしれません。
一般の人はニュースで騒がれる「データを外部流出させた」という事案を漏洩と思っていそうですが、それだったら「漏洩」なんていう難しい表現は使いませんよね。
漏洩とはもともと「水や光が隙間などからもれる」ことなので、「外部の第3者が情報を確認できる状態・状況を作る」こと自体が情報漏洩に当たるのです。
したがって事例1から5については、結果として外部に情報が流出しなかったとしても、漏洩の状況を作った時点で情報漏洩が成立することになります。
事例6は少し特殊な例で、この時点では情報漏洩が成立しているとは言いきれません。
(テレビ通話をしていた、製造ライン内の音が通話に入った、などの事実があれば問答無用で漏洩事案ですが)
しかしこの会社は就業規則で秘密裏に情報送信できる私物端末の持ち込みを禁止していることから、「私物端末を使う=漏洩行為」と定義している可能性が高いです。
実際に情報漏洩をしていなくても、会社組織が漏洩行為と定義する行動がある場合、規則を破れば情報漏洩と認定されるリスクがあることを覚えておきましょう。
情報というものは「いつどこで誰に渡ったか」が特定しにくいため、情報漏洩につながる一歩二歩手前の行動を漏洩に準ずる行為として規則で禁じている会社組織がほとんどかと思います。
「不便だな、面倒だな」と思うような規則があっても、「もしかしたら情報漏洩を防止するためのルールかも?」と疑い、軽視しないようにしましょう。
ニュービジネスでの「情報漏洩」に当たる行為って?
近年は情報インフラの高機能化・多様化でいろいろと新しいビジネスが増えています。
そのため、昔は存在しなかった新しい形の情報漏洩も増え、何の気なしにした行為が機密情報の漏洩と認定されて処罰を受ける例も見られます。
情報漏洩そのものを処罰する法律は(情報の移動や損壊などに伴う実害を裁くものを除き)存在しないため、漏洩の事案を見ても何がダメなのかわかりにくいところもあると思います。
そこで、近年増えた従来の職業に当てはまらないニュービジネスで、何が漏洩にあたりそうな行為なのかを挙げたいと思います。
なお、「OOOデザイナー」とか「OOO配達員」のような既存職業の延長にあるものは、保持する情報の違いだけで既存職業の枠組みから外れないため、ここでは除外します。
リモートワーカー/テレワーカー
厳密には働き方の分類であり職業ではないのですが、社会情勢の変化で増えてきたものなのであえて取り上げます。
リモートワーカーやテレワーカーは、会社組織が就労場所として規定したオフィスではなく、自宅やコワーキングスペースなどオフィス外の場所で就労する働き方となります。
(ちなみに私もこのタイプのワーカーです)
もちろん、保持する秘密情報もオフィスワーカーと同じく会社組織の規則に沿ったものとなります。
ではなにがオフィスワーカーと違うのかというと、「情報漏洩のリスクの高さ」と「情報保全に関する努力のウェイト」です。
まずリスクの高さですが、一般的なオフィスは電子ロックや警備員常駐などの物理的なセキュリティと情報アクセスレベル設定や情報利用申請システムなどのソフト的なセキュリティを準備し、情報漏洩を予防しています。
しかしリモートで働く場所は、会社の情報インフラを使えばソフト的なセキュリティは確保できるかもしれませんが、物理的なセキュリティがほとんどありません。(あってもドアの鍵程度)
さらに周囲の人間は情報セキュリティ教育を受けてない場合がほとんどで、勝手に端末を見て第3者に情報を流す漏洩行為を平然と行うリスクがあります。
次に努力のウェイトですが、オフィスは情報保全の環境を会社組織が守ってくれているため自身が漏洩者にならないよう努力するだけで済みますが、リモート環境では自身の努力に加えて周囲の人間による漏洩行為が起きないようにする「オフィスがしてくれていた努力」も担うことになります。
ネットワーク通信に使う機器のセキュリティ保全、業務に使う端末のセキュリティ設定や盗難防止対策、業務内外問わず仕事場に他人が無断で入り込まないようにする設備や環境を整える努力、などなど、、、
この努力は個人レベルでは非常に難しく、それこそオフィスをひとつ立ち上げるくらいのつもりでないと安心できる環境にならないのでは、と考えます。
もしオフィスと同じ環境でリモートワークをしようとすれば情報保全に関する不断の努力が必要になると思われるため、余程の覚悟がない限りオフィスに戻りたくなるでしょう。
ストリーマー(Streamer)
「ストリーマー」は、動画共有/配信サイトでさまざまな動画を配信し、それに付随する広告配信料やスポンサー料などにより収入を得る職業です。
近年子供のなりたい職業の上位に登場した「YouTuber」はこれに属します。
このストリーマーはメディアに分類され、秘密情報の大半は「動画作成に使用した情報の匿名提供者」「スポンサー契約の詳細」などメディアに準ずるものと思われるため、説明を省きます。
ここでは、この職業の中でもとりわけ異質で、情報漏洩のリスクを多くはらんでいると考える「バーチャルストリーマー」を取り上げようと思います。
バーチャルストリーマーは用意されたアバターを現実世界の人間が操って動画配信するもので、よく聞かれるバーチャルYouTuber(VTuber)などがこれにあたります。
このバーチャルストリーマーは配信内容に関連する情報だけでなく、「アバターデータの情報」「アバターを操る人物の情報」などアバターに関連する情報も秘密情報にあたると推定されます。
これの裏付けとなりそうな懲戒事例として、「アバターデータを効率よく動かす仕組みの一部を公開した」「アバターとしてライブ配信中、第3者との通話に使っている私用アカウントを使い、ネット通話に接続した」などがあります。
前者は明らかな情報漏洩事案なのでわかりやすいですが、後者は「アバターを操る人物」の情報が秘密ならば「第3者がネット通話に接続した=秘密情報が外部流出した」の図式が成立するため、その状況を作る行為が情報漏洩に該当します。
ちなみに、リテラシーのない人間が「個人情報の詮索や流出を促す働きかけ」をしている様子を見かけますが、これも情報漏洩につながる不法行為の一種だと覚えておきましょう。
これにより情報漏洩が発生した場合、主に罰せられるのはあなたが支援するアバターとそれを操る人物ですが、実害が発生した場合はあなたも損害賠償の請求対象になるかもしれません。
もちろん恨みつらみや愉快犯的思考で故意に情報流出させることは、現在ある法律でも立証可能な不法行為であると認識しておきましょう。
ケアマネージャー
要介護/要支援者やその家族の相談を受けたり介護サービスの手配をしたりする、超高齢化社会で生まれたサービス業です。
ほかのサービス業と同じく、会社組織の内部情報や相談を担当している家族に関連する情報などはすべて秘密情報に当たると考えます。
今後問題となりそうなのは、「どこまでが公開情報でどこからが秘密情報なのか」の線引きをあいまいにしている点でしょう。
例えば「AさんがB荘という介護施設に入った」という情報を得て第3者に伝えたとします。
もし、B荘が幅広い高齢者を受け入れている施設で、Aさんの家族もAさんが利用していることを認めている場合、介護度などの秘密情報を特定できない公のものと言えるため、情報漏洩とはならないでしょう。
しかし仮に、「B荘は精神疾患がある要介護度3の人だけ受け入れる施設」という事実と、Aさんの家族からAさんがB荘に入ったことを伏せるよう要望された事実があれば、この情報は秘密情報に当たるため、第3者に漏らした時点で情報漏洩となります。
今のところ、ここまで厳格に情報を隠したいという個人はまだ少なく、またリテラシーのない一般人による口コミでの情報拡散が横行する分野のため、問題に発展したという話は聞きません。
しかし、リテラシーやコンプライアンスを声高に叫びだした昨今、こういった安易な情報伝達を処罰する社会がこないとも限りませんので注意がひつようです。
さいごに
情報化社会となった現代では、軽はずみな行為が情報漏洩につながり、処罰される事案が増えています。
今では当たり前となったスマホで写真を撮る行為も、機密情報が写ってしまえば情報漏洩者として扱われるリスクは十分あります。
情報流出は実害を伴うものなので、それにつながる情報漏洩に厳しい目が向けられるようになったのは当然と言えます。
働くときだけでなく日常生活を送る時でさえ、このリスクを念頭に置かなければならない時代が来ているのかもしれませんね。
0 件のコメント:
コメントを投稿