情報主体の安心できるセキュリティを宇治市の事例から考える - CNET Japan
非常に参考になる。木村修二氏の講演に行ける機会があれば、ぜひ参加してみたいと思った。
しかし、それとは別に思ったことがある。
少し引用するが、ACCSの久保田専務理事がこれを読んだらどう思うのだろうか。
情報漏えい事件が起こった場合、被害者となるのは「情報主体」であり、漏えいを引き起こした「情報保有者」は加害者である、という前提条件を提示。自治体の場合「情報主体」が市民であり、「情報保有者」は自治体ということになる。つまり、地方自治体で情報漏えい事件が発生した場合、自治体は「加害者」であるということだ。情報を盗まれてしまった被害者ではない、という考え方が必要であるとしている。そして、セキュリティは情報主体(市民)にとって、納得できる形で行われなければならないとした。
リスクを負う情報主体がシステムを監視し、情報を預けるかどうかの判断ができるようにするべき
情報主体による監視がなければ権利侵害になる
私はoffice氏の行動は軽率だったと思う。彼の動機にある種の悪意というか、愉快犯的な要素あったようにも思う。しかし、だからといって悪意だけだったとは思わないし、彼のことを一市民でないとは思わない。情報を預けるべきかどうかを彼なりの技術知識によって判断しようとしたことを、不正アクセスだとも思わない。
ACCSは一部たりとも被害者ではなく、純然たる加害者だと思うからだ。
自らの不手際が招いた不祥事を他人のせいにし、「彼の行動を許せない」とか「社会のために許してはいけない」とか言って憚らない厚顔無恥な存在を、私は認めない。感情や私利を優先して、道理を捻じ曲げようとする存在を、私は認めない。自分の責任を果たさずに他者の責任を追及する存在に、その資格を認めない。
ACCSの久保田専務理事がそういう存在かどうか、私は知らない。ただ、私にはそのように見える。というかそうとしか見えていない。責任を感じているように見えないから。
この事に関する自分の責任を果たした後、「それでも社会的に意味があるから恥を偲んで提言する」とかならまだしも、office氏を悪者に仕立てることで自分の失敗を糊塗しようとしているように見える。というかそうとしか見えていない。office氏を責めることに恥を感じているように見えないから。
もしそうだとしたら、そんなヤツが偉そうにセキュリティを語ることは断じて認められない。納得できるわけないだろう。
木村氏は、情報保有者は加害者にならないための情報セキュリティを行うべきであり、その際のキーワードは「情報公開・プライバシー保護」「インフォームドコンセント」「セカンドオピニオン」という3つがあるとまとめている。
経験から来る意見だけに納得感がある。
しかし、自分の責任を果たさずに他人を責める傲岸不遜な輩には望むべくもない。自分と同種の意見以外は認めないだろうから、セカンドオピニオンを認めるはずもない。インフォームドコンセントも当然期待できないだろう。
この記事を読んで思ったこととはこうだ。木村修二氏の意見が大変参考になる価値の高いものだということと、ACCSの久保田専務理事の行動や言動は厚顔無恥かつ傲岸不遜に見えるということだ。
そうではないなら、まずヨセフアンドレオンとACCSおよび久保田専務理事との関係を、余さず明らかにしてからにして欲しい。もちろん発注経緯も。話はそれからでしょう。
そんなところ。