叡智の三猿

〜森羅万象を情報セキュリティで捉える

会社という法人には責任感がない

今年のニューイヤー駅伝はホンダが初優勝の快挙をとげました。しかし、優勝旗が授与されない異常な光景がありました。

これは、昨年優勝した、富士通が優勝旗を紛失してしまったためです。富士通は主催者謝罪したうえで、探すといっていましたが、結局大会を迎えるまで見つからなかったようです。
www3.nhk.or.jp
しかしあれほど大きく、会社にとって名誉であるはずの優勝旗をどうすれば紛失することが出来るのでしょうか・・・ある意味ですごい会社なんだなと感心?しました。

会社が不祥事を起こしたとき、トップが会社を代表して謝罪する光景はよく見ます。しかし、その会見の言葉の多くは、血が通っていない「空々しく、こころがない」印象を受けます。それはそもそも会社には、罪悪感が備わっていないからと考えます。会社は法律上、人格を与えられていますが、それは個人の人格にみられる血液も感情もありません。富士通が優勝旗を紛失した件についても、富士通社内の社員のなかには心を痛めてたり、憤りを感じている人も多いと思いますが、会社としては、このことでブランドの失墜を招かないよう、時が過ぎて世間が忘れるのを待っているだけでしょう。

さて、富士通についてですが、昨年は同社が運営するプロジェクト情報共有ツール「ProjectWEB」を使った企業や政府機関からあいついで顧客情報の流出を招きました。幸い、わたしは仕事で「ProjectWEB」を使っていないので、影響はありませんでしたが、このツールを使って、プロジェクト情報を共有していた会社は、対応に追われたと思います。すでに富士通は「ProjectWEB」の廃止を発表していますので、このツールを使っている会社は代替製品への移行が完了していると思います。

ただ「ProjectWEB」についていえば、セキュリティ対策の機能に不備があったことは富士通側の問題ですが、この製品を採用した企業・機関も、情報セキュリティの認識が甘すぎると言わざるを得ません。といいますのは「ProjectWEB」は、多要素認証が導入されておらず、正規のIDとパスワードを第三者が入手すれば、誰でも正規の利用者としてログインができてしまいます。そのような製品にプロジェクトや顧客に関わる情報を格納することが、ありえないと思うのです。

多要素認証について補足します。「ProjectWEB」のようなIDとパスワードに代表される認証方式は人の記憶に依存します。認証する要素としては、記憶のほか、所持と属性があります。この3つを「認証の3要素」と呼びます。

要 素 認証方式の例
記 憶 パスワード認証/暗証番号(PINコード)等
所 持 端末認証/ICカード認証 等
属 性 生体認証(指紋認証/顔認証 等)

「認証の3要素」のうち、複数の要素を組み合わせた認証を「多要素認証」と呼びます。

「ProjectWEB」のプロジェクトという言葉ですが、仕事柄、この言葉を多用する人と全く使わない人がいると思います。プロジェクトはPMBOKによると以下の定義をしています。

プロジェクトとは
独自のプロダクト、サービス、所産を創造するために実施する、有期性のある業務。~PMBOKによる定義
f:id:slowtrain2013:20211230093700p:plain:w300
有期性のあるプロジェクトは、日々のビジネスを繰り返す定常業務とは切り分けされます。ですので、定常業務のみに従事している人はプロジェクトと言われてもいまいちピンとこないと思います。

さて、プロジェクトは前述したように「独自のプロダクト、サービス、所産を創造する」ための業務ですが、その業務に関わる情報が、第三者から簡単に覗かれる状況を生み出すことを想像してみてください。

これは非常に怖いことです。

何故なら、会社にとって独自のプロダクトやサービスを生むことは、会社が生きて成長していくために必要な活動そのものです。そのような重要な活動に関わる情報が第三者から覗かれてしまうということは、会社として成長をやめ、生きていくことをやめても構わないことを示しているのです。

おそらく会社にいる個々の社員はそのようなことを思っていないはずです。自分たちがプロジェクト活動で扱っている情報の重要性は充分、認識しているはずです。

しかし、会社という個々の社員の集合体になると、重要な情報を預かっている意識が希薄になってしまいます。それは前述しましたが、会社は法律上、人格を与えられていますが、個人の人格にみられる血液も感情もないことに起因していると思うのです。

要は会社や機関には責任感が存在しないということです。

責任感のない会社や機関にわたしたちは重要な個人情報を預けている実態を改めて感じました。