000000 ランダム
 HOME | DIARY | PROFILE 【お気に入りブログ登録】 【ログイン】

noahnoah研究所

2007/11/22
XML
カテゴリ:セキュリティ
数万件もの顧客情報のを漏えいさせた企業が、その事実を公表しなかった理由として「IPAの指針」を挙げていた事件があり、少し調べてみると、IPAのサイトから以下の資料が見つかりました。

情報漏えい発生時の対応ポイント集 情報が漏えいしてしまった時、何をすべきか!![PDF]

この資料は「情報漏えいによる直接的・間接的被害を最小限に抑える」ということを目的に作られており、参考にした指針は次の部分であると考えられます。

3.4 Winny/Share 等への漏えいの場合の対応

(4)通知・報告・公表等
漏えい情報に個人情報が含まれる場合には本人に通知し謝罪します。(「5 (1) 情報漏えいに関する公表の考え方」 を参照)必要に応じ監督省庁への報告を行います。
Winny/Share などは要求の多いファイルをネットワーク上の多くのコンピュータに拡散させる仕組みを持っていますので、一旦人々の興味をそそり人気のあるファイルになってしまうと、ネットワーク上にファイルが拡散しいつまでも漏えいが続くことになります。
事件の公表がWinny/Share のダウンロードを誘発する恐れがある場合は、しばらくの間公表を控えるという考え方もあります。被害防止の観点から最善と思われる措置をとります。

今回の場合、顧客本人には通知して謝罪も行っており、顧客がその企業のステークホルダーだったこともあり、それ以外の不特定多数に公表する必然性がないと判断したのでしょう。

ただ、不特定多数の中には今後その企業の新規顧客になる可能性がいる者がゼロではなく、情報漏えい事件は株価にも影響があることを考えると、IPAの指針を盾にして企業利益を優先した隠蔽工作と考えることもできます。

また、いくら一企業の判断で公表を控えても、その事実が伝わったマスコミが報道した場合、「隠蔽=悪」ということで、自ら公表した以上のダメージを受けてしまいます。

そもそも、漏えいしては困る情報を不正に持ち出された時点で情報漏えい事件が成立しており、その事実がWinny/Shareで公表されるか、企業自身で公表するか、マスコミにって公表されるかの違いでしかないと思います。

情報漏えい事件では、故意過失を問わず漏えいした本人には相当の損害賠償金を請求しないと、漏えい事件は減らないでしょうね。

この事件により、短絡的に公表しないことが良いことだと判断する企業が増えないことを祈ります。




noahnoah研究所のブログは、訪問者が危険なサイトへ誘導されないように、楽天にログインしていない方からのコメントや楽天ブログ以外からのトラックバック、この記事へのリンクがないトラックバックは受け付けません。






Last updated  2007/11/22 12:21:10 PM
コメント(0) | コメントを書く


Copyright (c) 1997-2017 Rakuten, Inc. All Rights Reserved.