「●●に任せたから安心」は慢心
尾崎自身はサイバーセキュリティの専門家でもありませんし、パソコン内に保存されたデータをどのように消去するべきなのかは承知していません。既に、その種の議論はあちこちのウェブサイトで議論されていますので、再発防止策は専門家に委ねたいと思います。
しかしながら、委ねるというのは任せきりにして終わりというわけではありません。自分自身の個人情報がどのように扱われ、保管され、そして不要になった際にどういった手順で消去されるのか、注意深く見守りたいと考えています。そう、専門家に任せるということは、お願いしたから放置する、という行為ではありません。最終的に専門家の提案や運用手順の検討はお任せするにしても、納得のいく対応になっているかの最終判断は専門家ではなく当事者が主体的に判断すべきことなのです。専門家に任せたので自分は何もしなくていい、と考えているのであればそれは安心ではなく慢心です。
今回はあくまで個人情報保護や県の機密情報が野放図に漏れかねなかったという事案です。おそらくはこれを機に全国の都道府県市町村はもちろん、学校法人や大企業などでもリースしているパソコンのデータ消去をどのように行うべきか、検討が進むことでしょう。しかしながら、海外での安全管理についても議論が進むでしょうか?
実は尾崎が様々なお客様から相談を受けている際、最もマズいなぁと感じる発言が
「当社は(世界的に有名な)●●社に安全管理を委託しているので問題ありません」
というもの。もちろん尾崎もセキュリティコンサルタントとして活動していますから世界的に有名で信頼のおけるセキュリティコンサルタント会社はいくつも知っています。お客様がそういった会社として間違いのない相手と安全管理に関する契約を結んでいるということは安心材料の一つにはなります。しかしながら、委託しているから安全対策が万全というわけではないのです。
最終的に従業員一人一人の命に責任を持つのはセキュリティコンサルタント会社ではなく、雇用主たる企業・団体です。セキュリティコンサルタントへの委託は責任を放棄してもよい、という意味では決してありません。むしろ、雇用主たる企業・団体でなければできないこともたくさんあります。
本社としてのバックアップ体制の構築、
海外出張・駐在の是非判断、
万が一の際の避難タイミングの判断、
雇用主である企業・団体としての政府やメディア等への対応、
などなどパッと並べてみるだけでもかなり重たい責任を負っていることがお分かりいただけるでしょうか。サイバーセキュリティの世界と同様、安全管理の世界でも当事者意識の欠如、他者への責任転嫁思考が残っているとこうした責任を果たすことはできません。まして「プロに任せたから自分たちは何もしなくていい」などという考え方では危機管理の在り方として大問題です。もし外部委託したことで慢心している方がいらっしゃるとすれば、それは海外の事業現場で活躍する同僚に万が一のことがあっても自分たちは無関心でいるという宣言に等しいということをご自覚いただきたいと思います。
今回ご紹介した事案を「神奈川県による個人情報流出問題」として捉えるとなんとなく他人事、ワイドショーのネタで終わってしまうかもしれません。しかしながらこの事案を「主体者意識の欠如が危機を広げたものの、九死に一生を得た事例」として捉えるとサイバーセキュリティ、海外での安全管理等皆さんの周囲でも早急な改善が必要な事項が見つかるのではないでしょうか?
この項終わり
