こんにちは、検索迷子です。
以前、自分が情報漏えいをされた私的な話題を書いたところ、
そのエントリーのアクセスが日に日に増加していっています。
検索エンジンでも、その類の単語で上位にあがるようになってきました。
また、コメント欄で事実を洗いざらいご相談いただいたり(これはコメントを承認せず、非表示にしています)、
検索単語で特定社名や人名を入れていたり、
セキュリティメーカーの信用できないところはどこか問合せがきたり、
情報漏えいの対処はどうしたらいいのかといった、
通報先や対処方法を探している方が本当に多いことがわかりました。
情報漏えいの通報先が見つからないという悲鳴
情報漏えいに、こんなにも困っていて、傷ついているという事実を突きつけられて、
正直、アクセス数が増えるのが悲しい気持ちになっていました。
私自身は、インターネット業界の片隅にいますが、こうした対策のプロではありません。
でも、検索して検索迷子にたどりついてくれた以上、何かを持ち帰ってもらいたいと思います。
困っている人たちの何かお力になりたいと思いました。
GW中にまとめて書かなければ、もうこの先、詳しく書ける時間が取れそうにないため、
情報漏えいの通報先を探すために、今、私がわかる情報を永久保存版にできる程度に書きます。
といっても、繰り返しますが私は素人です。ご自身で活用方法を考えてください。
たぶん、この話題をこんなに集中的に考えたり、まとめるのは最初で最後です。
それほど、重たい話題です。うかつなことは書きたくないと思いました。
本業とは全く違うジャンルのため、連続して情報提供はできません。
そんな思いから、深く掘り下げたエントリーは書かないできました。
アクセス解析をして何週間も悩み、情報がどこにもなくて、探せないなら、
私が書くしかないのかと重い腰をあげて書きます。
今日のエントリーはとても長くなりそうです。ご了承ください。
情報を見やすく整理したいのですが、整理することで立派なハウツー扱いされると、
かえってご迷惑になるといけないと思いました。
あくまでも、私見で情報が浅い点もあるという素人目線の余地を残すため、
書きっぱなし形式とします。
まず、私は、インターネット関連に従事する一人として、
インターネット上の情報漏えいやセキュリティに関する最低限の知識はもっています。
コンプライアンスや、セキュリティや企業の社会的責任CSRといった基礎知識は、
従業員として研修を受けたり、セミナーに参加したり、
関連する資格試験をとったりと他の人よりも体系だてて学んでいます。
情報を扱う仕事に従事する人間としての知識は、比較的あるほうかもしれません。
それでも、自分は人にアドバイスできる立場ではないと思っていました。
検索迷子のアクセスが増えるのを見て、
いや、もしかしたら自分では最低限と思っている知識が、
インターネット利用者のなかでは、一般の方たちよりも詳しいかもしれないと思い直しました。
アクセスの異常な増加は、自分の痛みをさらしてエントリーを書こうとする起爆剤になりました。
ということで、今日は、
少し本腰を入れて情報漏えいにまつわる話と通報先の候補を書きます。
ただし、私はどの方法も実際には使っておらず、一般論しか書けません。
自己責任において、行動してください。
どんな情報でも、ないよりはましという方は読み進んでください。
情報漏えいをされた被害者の痛み
どうして、情報漏えいに困る人がこれほど増えて、検索迷子に流れ着いているのでしょうか。
世の中にはセキュリティ対策をうたう製品やサービスはあります。
が、問題なのは、事前対策ではなく、すでに起きてしまったことにどう対処するかなのです。
お金を出せばどんな事前対策も可能でしょう。
無料で提供されているサービスだってあります。
法人向けなら、その環境にいれば対処もできるでしょう。
情報漏えいにあわないための環境整備もされているでしょう。
企業対企業における対策なら、どのように社内で動けばいいのかはわかります。
が、そんな私ですら個人対個人として情報漏えいの被害者になったとき、
リスクがわかるだけに、どう対処すべきか躊躇しているのです。
インターネット業界に無縁の方なら、なおのことお困りのことと思います。
事前対策の有無に関わらず、私がそうであったように、
まるでレイプのように、予期せぬ望まぬ形で個人情報を漏えいされてしまった場合、
他者の無知な行動によって、悪意ある意志によって、
人間としての尊厳が踏みにじられる感覚になります。
当事者がコントロールできないところで、送信ボタン一つで情報をばらまかれる。
それが、情報漏えいの怖さです。
漏えいされた側に何の否もないのに、勝手に情報を第三者に公表されてしまう。
私もそうでした。
非常に機微な個人情報が書かれたメールをばらまかれ、
なぜ、自分がこんな辱めを受けなければならないのか、
一体どこまで漏えいされたのか、
仕事はこのまま続けられるのか、不安と緊張にさらされて、精神的に追いつめられました。
この痛み、この屈辱に対して、当事者二名は何もまともな謝罪をしてこない。
社会的制裁、解雇や懲戒処分を望むほど、怒りは時間が経過しても収まらない。
むしろ、時間が経過すればするほど、その無神経な行為と事後対応のひどさに、
第三者を巻き込んで本気で、最も効果的な方法で自分たちの行為を悔恨させるために、
最大の対処をしようと思うようになりました。
泣き寝入りはしないと誓ったのです。
送信ボタン一つのうかつさで、人を傷つけたこと、そんな浅はかな自分を、
一生、心の傷にして悔やんで欲しいとさえ願うようになりました。
それくらい、生涯でされたことのなかで一番ひどい仕打ちをされたと思いました。
これは、きっかけは個人から始まったが、私怨晴らしではないと思っています。
その直後よりも、時間が経過してから冷静になって考えて、ことの重大さに気づいたのです。
セキュリティ従事者である二名が、セキュリティに違反することをした、
その社会的に許されない事実に対して、そんな従業員がいるその会社の製品が、
世の中にばら撒かれてほしくない、だから、その二人には会社を辞めて欲しいと思っている。
悪質な社員二名が、自分たちのしたことの重さを認識せず、
のらりくらりと働いている仕事上で制裁を受ければ、
会社規模であろうが、個人の懲戒だろうが、実は規模は関係なく、痛みを負ってほしいだけなのです。
世の中に劣悪な製品を出す悪の元凶を断ってほしい、被害者をもう出したくない、その一心です。
不衛生な人が、接客やサービス業に不似合いなように、
セキュリティ意識がない人間に、人の安全を守るセキュリティ製品を作る資格などないと思います。
どうして、これほどまで書くのかというと、
個人情報を漏えいされたとだけ書くと、事実より軽く見えてしまうからです。
個人情報は、漏えいされたその後から、痛みは広がっていきます。
一瞬で終わることではなく、永遠に続く痛みになります。
そして、その痛みは消えない。
むしろ、時間とともに痛みは大きくなるという実態を知ってほしいと思ったからです。
こうした例のように、たった一人の個人が情報漏えいをされてしまい、
精神的苦痛を負ったら、どこに声をあげればいいのか、知らない人は多いのです。
セキュリティーメーカーは、美辞麗句で製品を売りっぱなしで、
事後対策にはまるであてになりません。
インターネットサービスプロバイダーも同様でしょう。
セキュリティとは事前対策さえすれば、製品を売ればいいだけなのだろうか。
実際に起きた後は、警察に行って下さいということなのでしょうか。
インターネットの世界で、個人は、誰も守ってくれない。弱者です。
でも、忘れないでほしい。
インターネットを使うのは、いつだって個人なのです。
組織にいたって、操作をするときは、皆、一人なのです。
あなただって、被害者になり、加害者になるのです。
送信ボタンたった一つで、誰かを苦しめる。誰かが苦しむ。
省庁で対応しているところはありますが、
実際に被害にあった個人を救済する方法のアナウンスが、非常に弱く浸透していません。
本当に情報漏えいで困っている人を救える場所は、
インターネットの世界にはないのだろうか。今のまま伝わらないのでしょうか。
情報漏えいの損害賠償額は低い。それでも裁判をしますか。
裁判をお考えの方は、相当な覚悟が必要だと思います。
過去の判例を見ると、情報漏えいの損害賠償額は驚くほど低く、
弁護士費用や、時間など割りに合わないと思います。
それでも、やるかは執念の問題でしょう。
以前、法律関係の大学教授が、
「裁判は、意地と意地のぶつかりあいだ」と話されていましたが、
まさしくそうだと思います。
私は法律に明るくありませんので、以下の記事を参考にしてください。
TBCで身体データなどの他人に知られたくない機微な情報が漏えいしたケースで、35,000円、
通販サイトなどでは500円相当の金券が主流のようです。
ITpro -【速報】エステティックTBCの顧客情報漏洩、一人当たり3万5000円の賠償金
@IT - じっくり考える「情報漏えい発生の理由」(中編)情報漏えいが事業経営に与えるインパクト
この例からわかるように、
どこかに通報をする前に、何をしたいか明らかにすることが大切になってきます。
私が通報先を書くのを躊躇してきた理由はそこで、
個人個人によって、何を目指して通報したいのかゴールが違うと思ったからです。
事例に即した、通報先の案内は難しいと思ってきました。
通報先の候補を挙げることはできますが、
通報することによってご自分が何をしたいのか、まず考えて欲しいと思います。
行動することによって、自分が失うものもあるのです。
被害者でありながら、費用や時間を持ち出しで対応しなければならないのです。
また、思い出したくない、知られたくない事実さえも、
誰かに話さなければなりません。話すプロセスで他者から批判的なことを言われることもあるでしょう。
そんな、セカンドレイプに近い状態が起きるのです。
それでも、戦うかが問われるのです。
情報漏えいの通報に関わる情報サイト
省庁や団体関連
権力、ノウハウともに影響力のあるところの力を十分に生かさない手はありません。
また、企業への通報とは違い、中立性があるため、一般人でも比較的誰でも通報が可能でしょう。
ただし、対応の迅速性などはわかりません。
まず、必ず読んで欲しいのが、消費者庁のサイトです。
公益通報者保護制度ウェブサイト - 公益通報となるために必要な事項について
公益通報者保護法とは、同サイトによると以下の通りです。
法令違反行為を労働者が通報した場合、解雇等の不利益な取扱いから保護し、事業者のコンプライアンス(法令遵守)経営を強化するために、公益通報 者保護法が平成18年4月に施行されました。
警察庁 サイバー犯罪対策ページ
都道府県警察本部のサイバー犯罪相談窓口等一覧
インターネット・ホットラインセンターが、最も通報しやすい仕組みがあると思います。
インターネット・ホットラインセンター
インターネット上の違法・有害情報の通報窓口(PC版)
インターネット上の違法・有害情報の通報窓口(携帯版)
日本におけるインターネット上の違法・有害情報の通報受付窓口です。2006年6月1日から運用を開始しました。インターネットホットラインの国際ネットワークであるINHOPEの正会員です。
通報された情報を分析した結果、違法情報であれば警察庁へ通報します。有害情報(公序良俗に反する情報)と判断すれば、プロバイダや電子掲示板の管理者等へ、契約に基づく対応依頼を行います。もし判断に迷った場合は、複数の弁護士で構成される法律アドバイザーに判断を委ねます。なお、有害情報(公序良俗に反する情報)とする範囲については、違法行為を直接的かつ明示的に請負・仲介・誘引する情報に限定されています。
知的財産権侵害情報については、ホットラインセンターでは取り扱っていませんが、このような通報を受けた場合は権利者団体へ情報を提供します。また、名誉毀損や誹謗中傷情報についても、ホットラインセンターでは取り扱っていませんが、このような通報を被害者ご本人から受けた場合、ご本人が希望すれば法務省人権擁護機関へ情報を提供することがあります。
そのほか、
その通報したい企業と関連性の高い省庁、業界団体もあると思います。
経済産業省や総務省、なんとか業界団体など、通報内容にふさわしい場所があるはずです。
事業者へ直接通報
会社そのものへ、直接連絡を自分でするということです。
即効性はあるかもしれませんが、かなりのリスクを伴います。
連絡手段は、電話やメール、専用フォームなどがあると思いますが、
コンプライアンス専用フォームがあれば、それが一番安心できます。
しっかりした企業では、最初から第三者機関に委託して、
従業員の利害関係による隠ぺいを防止するために、従業員とは切り離して対応しています。
それがないときは、お問合せフォームやメールアドレスを、
会社概要やヘルプページなどから、サイト内で探してください。
このとき、問合せフォームが使いにくい、探しにくい場所にある会社は、
相当、利用者に対する対応に距離をおいている会社と言えるでしょう。
問合せしにくいように、探せない場所においている企業もあります。
通報する前に、企業の事前研究もしましょう。
まず、その企業は、セキュリティに対して真剣かを計ってみてください。
まず、企業ホームページをチェックしてみましょう。
コンプライアンス体制を見る
会社概要や企業を紹介するページに、
コンプライアンス室、法令遵守(または法令順守でも)、
企業の社会的責任、CSRといった単語のページがあるかを確認し、
企業がどの程度、真剣に安全面や信頼性のために取り組んでいるのかを見て、
企業の値踏みをしましょう。
これらの単語や、企業の取り組みの記載がないところは、全く知識がないと言えます。
会社として知識がないということは、当然、従業員教育もされていません。
さらにこのとき、組織にコンプライアンス室がないところは要注意です。
企業規模によっては、コンプライアンス専任担当をおく余力はなく、
問題が発生したら、法務や、へたをすると総務担当が兼務といった、
法律に明るくない人や、日ごろ別な対応をしている人が、
案件発生ベースで臨時対応します。つまり、相手はプロでないこともあります。
認定資格を見る
企業ページを見るとき、気をつけて欲しいのは、
プライバシーマーク(Pマーク)がある、
情報セキュリティマネジメントシステム(ISMS)を取得しているかということです。
これは必須ではありませんが、この資格にごまかされないことです。
両者の資格を取るのは、もちろんそんなに簡単ではありませんが、
実は難しくもありません。
取得していないよりはあったほうがましですが、全面信頼の証にはなりません。
両者ともに第三者機関を通じて、一定期間従業員教育を集中的に行えば、
その二つの資格は取得が可能なものだからです。
ISMSのほうが、段違いに難しいため、こちらを取得しているなら、
かなり信用度はあがります。
ちなみに、プライバシーマークは実はそうでもありません。
企業がとる気になれば、少し時間を使えばとれるというくらいのものです。
いずれにしてもそれらは、通年で企業が情報の取り扱いをがんばっていたり、
従業員教育がしっかりなされているという証にはなりません。
窓口で第三者機関からヒアリングされる従業員を除いて、
一般の従業員には、こうした資格を一年(あるいは二年に一度くらい)の一定期間、
強制的にe-ラーニングでパワーポイント10枚程度を勝手に受講させて、
テストを数十問をオンライン受験するといった、軽いものです。
もちろんやらないよりは、やっていたほうがいいのですが、
私の情報漏えいをした人の名刺には、プライバシーマークが印刷されていました。
オンラインだけで学習させて、企業による講習会などがないのでしょう。
用語を知ってるだけの薄っぺらい知識しかない人間が、セキュリティに従事していることもあるのです。
IDカードの使い方を見る
また、違った指標ですが、
その会社の従業員にセキュリティ教育が行き渡っているか、
チェックするのに有効なのが、IDカードの使い方です。
IDカードは、企業によってその扱い方のルールの厳格さが違い、
使い方の従業員の徹底度合いで企業の本気度が問われるアイテムだと思います。
その企業に訪問する機会があったら、ぜひチェックしてください。
なお、社外でネックストラップの社名を丸見えでぶら下げている会社は、
セキュリティ対策はお粗末と言えると思います。
ランチの会話のたびに、会社の情報を漏らしているようなものですから。
一定水準以上の会社では、社外ではネックストラップは見えないようにするか、
はずすように指導されているため、社外では若干指標になりにくいです。
来訪の打ち合わせ時、あるいはビルのエントランスあたりで、
そこの社員を観察するといいでしょう。
だめな例としては、
腰からぶら下げている、財布や定期入れなどに入れてるなど、
「首からぶらさげて、対外的に自分が何者かを証明し、セキュリティゲートをくぐるアイテム」を、
ファッションアイテムとして首から提げるのをかっこ悪いと思ったり、
ドアを開ける鍵のように雑に扱っている会社のセキュリティ意識は低いです。
サービス業で、名札をつける人が、腰にネームプレートをつけるでしょうか?
それと同じで、首から提げるようにと会社から指導されているものを、
ファッション性が悪いとか、会社に帰属している従属感が恥ずかしいとかの理由で、
失くしやすい財布に入れるなんて論外です。
私がかつていた会社では、首から下げていない従業員は、上司から警告を受けました。
IDカードを忘れたら入館停止処分をされました。
見つかるまで、仮カードを発行すらしてくれませんでした。
紛失したら、警察に通報するように義務付けられていました。
また、パソコンの認証もIDカードがないとできないため、忘れたら一日仕事ができません。
IDカードは何よりも大事なのです。
雑な会社は、ビジターを装って仮カードを警備員に発行してもらっています。
IDカードというセキュリティの象徴アイテムを大切にできない会社は、
全ての取り扱いが雑だと思います。
観察する機会があったら、ぜひ見てみてください。
こういう細かなルールを守れるかどうかが本当に大切なことなのです。
通報するとき、相手は一人ではないと知っておく
どんな企業でも、窓口でもそうですが、
メールやフォームを使う際は、それなりに覚悟が必要です。
それは、どのメールもフォームも、相手は確実に複数いるからです。
個人のメールアカウントでこうした連絡を受け付けていることは、ごくまれです。
たとえば、tsuhou(@)kensakumaigo.co.jp(これは存在しません)と、
なっていた場合、@(アットマーク)の左側は、たいていが、
相手先企業ではメーリングリストの大きな範囲に送信される宛先です。
つまり、相手は少なくて数名、多くて何十名、あるいは百名規模でこのメールを見るのです。
そして、そのメール内容は全文、企業のナレッジデータベースで蓄積されて、
数年は閲覧可能な状態で保存されるはずです。
それは、どの企業でも当然のように行われています。
企業は継続的なサービス運営のために、
一対一で何かを対応するわけにいかないため、情報共有のために、
顧客、一般からの問合せはこのように受け付けています。
自分は軽く問合せをしたい、通報したいと思っても相手は多数です。
また、匿名フォームであって名前を書いていなくても、
IPアドレスやユーザー情報が取得が可能な場合もあります。
つまり、氏名は書かなくても、自分がどこからアクセスしたのかを知られる可能性があるのです。
だからと言って、ひるんではいけません。
自分が正しいことをしようとするなら、その状況を知ったうえで、
通報してもいいこともあるでしょう。
うかつに行動しなければいいということです。
と、相当長くなり、まとまりもないのですが一度アップします。
後日編集するかもしれません。
こんな長文を読んでくださってまで、通報したい気持ちがあるなら、あきらめないでください。
悪いことをした人は、必ず社会や組織から排除して裁きを受けて欲しいです。
では、また。
