--.--.--

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。


2006.07.27

個人情報の不正取得は容易?

企業が運営するウェブサイトに不正アクセスを試みたら、半数のサイトで情報漏洩につながる致命的な欠陥があった
朝日新聞2006年7月27日朝刊

無名のハッカー(正確にはクラッカーだが)が暇つぶしに複数のサイトに不正アクセスをした結果、というわけではない。
NRIセキュアテクノロジーズ(http://www.nri-secure.co.jp/)という企業が、調査を受託して行ったものだそうだ。55社1官公庁が運営する167ものサイトに不正アクセスを試みてみたら、その半数(50%)から顧客の情報(クレジットカード番号も含む)を不正に取得できたらしい。

昨年(2005年)4月に個人情報保護法が全面施行になった際、あれだけ情報漏洩防止措置について大騒ぎしたのはなんだったんだろうか?一部には情報漏洩防止に対する「過剰反応」を懸念する声もあったようであるが、情報管理はまだまだ万全ではないことの一端を示す報道であろう。

ただ、この調査はWEB経由で情報を不正取得するケースであり、一概に情報管理が甘いと言い放って済ませない問題をはらんでいるように思う。
WEBサイトの構築・運用やネットワークシステムの開発などは、通常、システム開発会社などに委託する形態をとるであろう。その際、委託者(発注者)側が、システム開発委託契約によって実現しようとする仕様をどれだけ理解しているのであろうか?

筆者は、システム開発委託契約の担当者になったことはないので、実際のところはわからない。
しかし、委託者(発注者)側がシステムの技術的側面よりもコスト面に非常に大きな関心をもって契約交渉に当たるであろうことは予想できる(それは違うという方がいれば、コメントをいただければ幸いである)。仮に担当者レベルでは、ある程度技術的な理解があったとしても、それを決済する上司の側にセキュリティ面などへの認識に乏しいことが多いのではないだろうか。

WWWに代表されるインターネットは非常に新しいツールである。
これまで人類が直面したことのないリスクがこれからもどんどん顕在化していくであろう。
情報(特に個人情報)に関するリスクの主なものは、その情報が漏洩し損害が発生すること(損害賠償リスク)ではなく、「情報が漏洩するおそれのある態勢(システム)を稼動していること」それ自体ではないか。

「情報漏洩に備えていない会社」であることが公にされれば、社会的信用は大いに失墜するであろう。このような社会的制裁リスクとでもいうものが、今後重視されるものと思われる。

と、ここまで書いてみて改めて思うが、どうにもやりにくい世の中だ。
まぁ、誰かが不便と思うところに商機があるのだ。とでも考えてやっていくしかないか。

この記事へのトラックバックURL
http://hirotakataki.blog54.fc2.com/tb.php/5-7d486f1f
この記事へのトラックバック
この記事へのコメント
管理者にだけ表示を許可する
 
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。