仮のお話しですが、お役所でも銀行でも通販サイトでもいい、あなたが信用してあなたの個人情報を預けていた企業が、あなたの個人情報を漏洩してしまったとしましょう。しかも、winny で。
最悪です。取り返しがつかない事件です。でも、起こってしまった事は仕方ありません。関係者一同、これからどうするべきなのか、考えましょう。
この時、被害者としてのあなたは、漏洩事件を起こした連中にどうして欲しいですか? そして、不祥事を起こした加害者は、いったいどうするのが正しいのでしょう? 技術面からひとつの答えは導かれますが、果たしてそれは倫理的に正しいものなのでしょうか?
まずは技術的な面の解説から。
実は、winny のネットワーク上の情報の推移状況というのは、それなりに研究が進んでいたりします。
第一人者はやっぱりここ
Winnyネットワークにおける流出ファイル推移調査結果について (ネットエージェント)
その解説はこのあたり
Winnyで流出したファイルがネット上から消える?(スラッシュドット)
ネットの書き込みやニュース報道でWinny流出ファイルが「長持ち」――ネットエージェント調べ(ITmedia)
暴露ウイルスなどによりWinnyネットワークに流出したファイルにおいても、その後Winnyネットワーク上から消滅したものがあるという。この場合の消滅とは、所有者がWinny検知システムで発見されたときから連続で30日以上確認できていないことを指す。これらは、掲示板の書き込みやWebでの情報掲載、プレスリリース(ニュース報道)のいずれでも取り上げられなかったもの。Winnyネットワークにおいては、元のファイルまたは完全なキャッシュファイルが、所有者やダウンロード成功者による削除でネットワーク上から消滅してから約1500秒(25分)でネットワーク上から存在しなくなる。
一方、発見された時点から120日後までWinnyネットワーク上で消えなかった流出ファイルについては、掲示板への書き込み、Web情報掲載、プレスリリース(ニュース報道)のいずれかがなされたものだ。同社によると、情報の掲載やニュース報道などが行われると、流出ファイルの所有者が増加して、Winnyネットワーク上にファイルが長期間保持される傾向にあるという。
要するに、もし情報漏洩事件が発生しても、それがニュースなどで報道されない限り、漏洩した情報そのものはいつのまにやら消えていく。逆に、いったん事件が報道されてしまったら、情報は一気に拡散していくわけです。
さて、最初のお話しにもどります。
仮にあなたが被害者だとしましょう。あなたが望むことを順に並べると、こんな感じでしょうか。
1.漏洩した情報のこれ以上の拡散を防ぐ
2.加害者からの賠償
3.加害者への社会的な制裁
もちろん場合によるのでしょうが、漏洩した情報がクリティカルなものであるほど、1の優先度が重要になると思います。逆に、あまり重要ではない情報漏洩ならば、1から3までどれが優先ということはなくなるかもしれませんが。
とにかく、被害者であるあなたが、上にあげた winny についての研究結果を知っていたなら、加害者に対してまず望むことは、「漏洩事件があったことは公表しないでくれ」であるはずです。
つぎに、漏洩事件を引き起こしてしまった加害者の立場を考えます。
自治体や企業や技術者が、このような場合に何を優先すべきかという問いには、いろいろな答えがあると思います。しかし、顧客の利益を守ることがひとつの答えであることは疑いようもないわけで、その顧客が「事件を公表しないで欲しい」と望むのなら、そうするのは有力な選択肢となりえるでしょう。事件を公表しないで済むのなら、短期的なイメージダウンを防ぐこともできるし、問題を起こした加害者としては願ったりかなったりというやつです。
てなわけで、最近の業界の中では「被害者救済が第一、したがって事件は公表すべきではない」というのが、なんとなく正解だと考えられていたりします。で、ほとぼりが冷めたころ公表するのがベストな対応ですな。
なのに、情報漏洩事件が起こると、ほとぼりが冷める前にバカなマスコミがかぎつけてセンセーショナルに報道してしまう場合が少なくありません。そして、バカな市民がそれに便乗します。連中は、技術的な面を何も知らないバカのくせに、興味本位で不必要に事件を騒ぎたてるだけ。結局、漏洩した情報はよけい広く拡散し、最終的に困るのは被害者。セカンドレイプみたいなものです。
こんな感じ
ネット広告のオーバーチュアが顧客情報流出するも公表せず(スラッシュドット)
……でもね、「市民とマスコミが無知でバカ」なのは確かだとしても、それは今さら言っても仕方がないことです。その前提のうえで解決策を考えねばなりません。そしてそもそも「事件を公表しない」という方策は、被害者と加害者の利害が一致したようにみえるけれども、社会全体として本当に正しい答えなんですかね?
一般の市民、すなわち事件に関して第三者である消費者の立場からしたら、そんな事件を起こした企業を選択したくはないわけで、事件を公表しないのは消費者を欺いていることにならないか? 事件を引き起こしてしまった加害者企業が、事件を公表しないまま社会的制裁を受けずにのうのうとしているのは、倫理的に許されるのか? そして、情報漏洩事件を少しでも減らすことを考えたとき、事件を公表しないことがそれにつながるのか?
てな感じで、情報漏洩を社会的なリスクとして考えると、単純に被害者救済だけを優先するのが本当に正しいのか、なかなか奥深い問題だったりするわけです。
長くなったので、つづく。
このブログは、「つづく」と書いてもつづかない場合が多いですが、これは単に僕が忘れっぽいからです。でも、今回は近いうちに必ずつづくと思います……たぶん。忘れなければ。
最近のコメント