| 矢野 |
企業のセキュリティ対策に話を移しましょう。三輪さんは著書の中で「日本企業のセキュリティ対策は平和を前提としたものである」と指摘しておられます。今まで日本企業は、何らかの危機管理対策をとらなくてはと思いながらも、まさか本当に危険にさらされるはずはないと、安穏としていた。だから、実際に問題が起こっても何の防護策もとれない。それではまったく駄目なんだと。
|
| 三輪 |
どこの会社でも事件が起こると、「対策が必要だとは知っていたが……」と言います。いま、企業に危機管理が必要なことを知らない人がいるわけがない。実際には、「知っていたけれど、何もやらなかった」というのが本音でしょう。
企業経営というのは、コンピュータ・セキュリティも含めて、山ほどのリスクを背負っています。そうしたリスク全部について対策をとっている企業が、コンピュータのリスク管理だけ抜けているというようなことはあり得ない。多くの場合、さまざまなリスク対策をしていない。当然、そういう会社では、コンピュータのリスク対策も抜けている。もちろん対策を講じていても防げないケースもあります。情報の内部漏洩もあるし、コンピュータとは違う原因から起こる問題もあるけれど、それらも含めて、いままでは「運が悪かった」ですまされていたんです。
|
| 矢野 |
俗にいう「戦略的思考」が欠如しているわけですね。
|
| 三輪 |
完璧に危機管理対策を行っていなければ、企業活動ができないわけではありませんが、それでも、企業にはある程度やらなくてはいけないことがあるんです。
とくにコンピュータは、会社の情報を扱っているわけですから、他のリスクと比べてもセキュリティ管理が重要です。コンピュータ・セキュリティが崩れると、それだけで会社が潰れる可能性さえある。例えばオンライン・バンキングで預金者情報が漏れたら、銀行の存続に関係しますよね。それほど重要。「運が悪かった」というレベルではすまされないのです。
データの内部漏洩に対する認識も甘いですね。酒を飲みながら人のウワサ話をしているのと同じ程度にしか感じていない。社会から叩かれないから「まあ、いいか」ですませてきたわけでしょう。
結局、これは企業ポリシーの問題です。経営全体のバランスの中で、どれほどのコストをリスク管理に配分するかということを企業倫理として取り組むべきです。
|
| 矢野 |
コンピュータ・セキュリティに対する日本企業の実際の取り組み方は?
|
| 三輪 |
 企業によって、ものすごく差があります。厳密にセキュリティ対策をしている会社と、まったくやってないところと両極端といっていい。全体としては、とてもゆっくりですが、意識は変わりつつあるようです。
概して一生懸命に取り組んでいるのは製造業ですね。とくに日本に本社があって、支社が世界中にある製造業の会社は、もともと危機管理意識がすごく高い。工場では製品の品質管理から事故まで、さまざまなリスクがつきものでしょう。だから、どんなに頑張っても、事故は必ず起こるだろうという意識が浸透しているんです。リスク対策にはある程度おカネを使うのは当然と考えている。
例えば、企業の海外支店や海外工場では、パソコンが1日1台盗難にあうのも珍しくないし、休日明けに会社中のパソコンがなくなっていたなんていう話もあります。ディスクごとパソコンを持って行って、翌日には、それを売り払ってしまう。それでは防衛どころじゃない。だから、そういう企業ではセキュリティ対策をよく心得ています。それに比べてサービス業とか工場を持たない業種は危機意識が非常に低いですね。
僕は以前から医療機関のコンピュータにセキュリティ対策がきちんと講じられているのか心配していました。日本では大病院でもコンピュータの総合システム部のような部門を設けているところは少ない。ただでさえ忙しい職場だし、コンピュータに何か起こっても不思議ではない。そう思っていた矢先、国立がんセンターの研究所で、コンピュータへの不法侵入の形跡が見つかったことが報道されました。
|
| 矢野 |
2002年11月に「トロイの木馬」が仕掛けられていた事件ですね。
|
| 三輪 |
そうです。研究者のパスワードが盗まれていた可能性があります。それにもかかわらず報道はほとんどされていません。重要な研究データが盗まれたり改竄(かいざん)された可能性や、どこまで深く侵入されたかについて報道されていないのです。
95年にオーストラリアで、職員が病院のコンピュータに不正アクセスして、患者の医薬データを書き換えたという事件が起こりました。その患者は間違った薬を投与されて亡くなった。医療現場では現実にそういうことが起こっているんですよ。
|
| 矢野 |
個人情報の改竄は怖いですね。
|
 |
| 三輪 |
個人情報の取り扱いについては、住民基本台帳ネットワークの導入でずいぶん騒がれました。しかし、国立がんセンターの事件については、マスコミも一般の人もあまり騒いでいません。命よりもプライバシーのほうが大事というわけじゃないでしょうけど……。医療情報は命にかかわるんだから、住民票以上にセンシティブな問題でしょ。本当はもっと世論が「ちゃんとしたセキュリティ対策をとれ」と言うべきなんです。2001年3月にもホームページが改竄されていますし。
|
| 矢野 |
住基ネットについて三輪さんは、個人情報を集めた全国に分散されたネットワークからデータが漏洩するのを防げるわけがないとおっしゃっていますね。
|
| 三輪 |
全国の市町村3300カ所に端末が散らばっているんだから、それを全部守り切ることはできないでしょう。
|
| 矢野 |
3300カ所に全国の個人情報すべてがデータベース化されているわけでもないようですが、データを取り寄せることは可能だし、サーバーの安全管理やネットワークのセキュリティ確保は万全とはいえないですね(この対談後の2002年12月末に福島県岩代町で、全町民約9600人分の住民基本台帳データを入れた磁気テープそのものが、委託会社のライトバンから盗まれるという事件が起きている)。
|
| 三輪 |
住基ネットに限らず、放送局だって郵便局だってものすごく大量の個人情報を持っています。民間企業でも新聞社や宅配業者など、あちらこちらに個人情報が山積みされているんです。それらが何らかの形で漏れて事件になっても、住基ネットほどには騒がれない。これはアンバランスじゃないですか。
|
| 矢野 |
 ひと昔前まで、セールスマンが転職するときは、今まで勤めていた会社の顧客名簿を持っていくのが当たり前だった。顧客名簿を持っているのが、転職の条件ですらあったわけです。つまり、三輪さんがおっしゃったような漏洩が、個人レベルで行われていたが、小規模で被害が少なかったから大きな問題にならなかったのでしょう。コンピュータ化によってそれが大規模になったのが問題ではないですか?
|
| 三輪 |
確かにそうですが、一市町村の端末に侵入して住基ネットのような大量の情報を一括ダウンロードするような仕組みはまだないんです。やるとすれば、1番から1億3300番まで指定してダウンロードするんでしょうが……。
|
| 矢野 |
いまはそういう仕組みはないけれど、将来、やれる可能性はある? 住基ネットに限らず、例えば複数の新聞社の顧客データを集め、番号をつけてダウンロードするぐらいはできそうに思います。
|
| 三輪 |
たしかにできるでしょう。ただ、それを実際にやるかどうかは、需要と供給のバランスによります。データを欲しい人が現れない限り供給する人は現れない。単純に仕組みやテクニックの問題ではありません。
第一、盗んだものを売買すること自体、違法行為です。法律を犯してまで莫大なコストを払う人が出てくるかどうかは判断できません。たとえデータの持ち出しに成功したとしても、それほど売れるとは思えませんよ。そんなものは闇のシンジケートでしか絶対に売れないんだから。日本ではそういったシンジケートはまだできていませんね。
|
