Entry

アメリカはどうだか知らんが裁判例が集まればセキュリティの分類も進むと思う

2008年09月15日

「ぁめぇーりぃかではなぁー……」と,やたらとアメリカを賛美する人の真似をする学生時代の友人(ややこしいな)がいるもんで,ちょっと思い出してしまった。面白いから,実際聞かせてあげたい。

一方アメリカでの状況を振り返ってみましょう。アメリカでは古くから軍などでの情報機器利用があったため(そもそも情報機器にかかわらず、情報全体の管理手法について)、この手の研究はよく進んでいます。その成果、たとえばOSでみればトラステッドOS、弊社の場合Trusted SolarisやSolaris Trusted Extensionsというのがありますがこの中での情報は、すべて「ラベル」によって秘匿性が管理されていて、ふつうの情報、社外秘情報などのラベリングがされています(ラベルをサポートするシステムでは、自分のユーザに割り当てられたラベルを越えた情報は一切見えません。たとえばファイル一覧でファイル名さえ出ません)。このようにすれば、守るべき情報にセキュリティ保護資源を潤沢に割り当てることができ、全体としてセキュアなわけです。

ブログ: 岡崎 - Okazaki's blog - なぜ日本のセキュリティは常に全力投球なんだろう

「日本の問題→アメリカの現状→(前近代の)日本的文化」みたいな論旨は,2007年も生き続けている。それこそ島国根性の日本的文化だと思うんですけどね。「セキュリティポリシを全体に同じレベルで割り当てている」ってのは,どこのセキュリティ施策かと思います。日本でもセキュリティポリシーを策定して,それにしたがって,ちゃんと分類してるところはありますがな,やってるところは。

ただ,日本の場合,個人情報保護関連の法律やセキュリティ関連の法律が制定されてから日が浅いということもあって,企業が個人情報なりセキュリティなりに起因する経済的損失をどれだけ被るかについて,ピンと来ていないところはあるんだと思います。ぁめぇーりぃかのように,民事でも懲罰的にバリバリ損賠を求めるとこでは,直接経済的に損失を被るけれども,日本では今のところセキュリティ事故が起きても,「セキュリティ管理がショボイ会社」といった風評的な損失や,精神的損害といった慰謝料としての損失にとどまってしまっています(業種にもよるけれど)。こういった非定量的な損失概念では,企業として何を守るべきか,指針が立たないわけで,セキュリティポリシーもぶよぶよにならざるをえません。で,大は小を兼ねるってことで,「全部守っちゃえ」になると。

また,実際に訴訟を起こすとしても,プライバシー侵害を公的な問題にすることが難しいってのもあったりします。だって,プライバシーを侵害されてるのに裁判で名前を出されたら意味がないですしね(そのための手続もあるが知っている人は少ない)。弁護士にしたって,プライバシー侵害の損賠(慰謝料)請求訴訟なんてお金にならないから,あまりやりたがらない。そんなこんなで,おおぴらな事件になりにくいもんだから,公的な合意が形成されにくいってところがあるんだと思います。

少し大きめのセキュリティ事故なんかについては,思い切って集団訴訟や ADR を仕掛けてみるのもいいんじゃないだろうか。

板倉先生のお話の中では、日本ではほんの50年前まではそもそも日本にプライバシーといった概念はなく、家にも低い垣根があるぐらいで、門に鍵すらかかっていない。隣三軒両隣といった、ご近所とはほぼすべてのプライバシーを共有したコミュニティーだったようなイメージです。おそらく江戸時代より脈々とこのような文化が引き継がれてきたことによって、おおよそ日本人に情報の秘匿性に応じた分類などという考え方が生まれてこなかった(そして今もない)のだと思います。

ブログ: 岡崎 - Okazaki's blog - なぜ日本のセキュリティは常に全力投球なんだろう

つことで,こういうのは,ウェットな文化の水準における問題というよりは,社会基盤の問題なんじゃないかと思ったりします。条件さえ整えば,ちゃんと訴訟も起きるし,それへの対策(プライバシーポリシー)も固まってくる(と思う)。大体もって,50年前のプライバシー概念と今のプライバシー概念は,概念そのものからして異なっているだろうに。「隣三軒両隣」で隣のババアに裸を見られるのと,Google Map Street View で全世界に裸が公開されるのは,同じ「プライバシー」でも意味の段階からして違うし,損失の規模も異なる。

セキュリティってのは,リスクとの関係で考えなくちゃいけないものなわけで,JIS Q 15001:2006 でも JIS Q 27001:2006 でも,リスクアセスメントが要求事項に入っていたりします。何を守るか分からんのに,対策は立てられないってことですね。

そんなもんで,とりあえずの取り組みとしてやっておくことは,個人情報漏洩の損失なり,秘密情報漏洩の損失なりについて,定量的な損失=損害概念を与えることであって,それについて社会的な合意を形成することなんだと思います。「ぁめぇーりぃかでは」とか言う前に,やることはわんさとあるわけで,それを日本的文化云々とかいった話に還元しちまうと,まとまるもんもまとまらないと思ったりします。

Trackback
Trackback URL:
Ads
About
Search This Site
Ads
Categories
Recent Entries
Log Archive
Syndicate This Site
Info.
クリエイティブ・コモンズ・ライセンス
Movable Type 3.36
Valid XHTML 1.1!
Valid CSS!
ブログタイムズ

© 2003-2012 AIAN