気ままな雑記帳

どんなに完璧な仕組みをつくって不正を防止しようとしても、必ず不正は起きる。
１００％防ぐことはできない。
なぜなら、人の「悪意」は防げないのだから・・・

今日の朝刊各紙に報道されたように、日本最大手のシステム会社「ＮＴＴデータ」の元社員が、同社が開発、運用を委託されている仙台銀行のコンピューターシステムから運用責任者がローンカードの暗証番号などを不正に持ち出してカードを偽造した可能性があると発表した。
すでに今日の夕方には指名手配された犯人が逮捕されたので、報道は沈静化していくであろうが、この事件はコールセンターやＩＤＣなどの「運用業務」を委託している会社、請け負っている会社双方に、衝撃として伝わったと思う。

おそらくＮＴＴデータは、世間一般から見てもかなりしっかりしたセキュリティルールを作り、定期的な点検を行っていたはずである。しかし、やはり事件は起きた・・・
いい方は悪いが、「信じすぎていた」「性善説」という意識で取り組んでいたことが、裏目に出てしまった格好である。

そもそも、実際に操作を行う人間がチェックを行う人間と同一人物であったなどということは、牽制がきくわけもなく、情報を盗まれてもしょうがない、という認識を持たざるを得ない。
業界最大手にしては、脇が甘かったということなのだろう。

その一方で、彼らは本当に無策だったのだろうか？
会社の発表した情報を見ても、ルール自体はおそらく問題のないものだろうし、記録の残し方も十分だったのだと思える。しかし、牽制が効かない状況とそして犯人の「悪意」を防ぐことはできなかった。

そう、残念ながら世の中、どんなに頑丈に規則をつくりチェックをしても「悪意」は防げない。
いまさかんに個人情報の保護を叫んでいるが、一度企業などに渡した個人情報が完璧なセキュリティ状態にあるとは思わないほうがいいだろう。
ほとんどの会社が厳重かつ慎重に、情報を保管しているであろうが、保管の責任者が悪意をもって持ち出そうとすれば、防ぎようがないのが現実である。

「悪意」は防げない、これが真実である。

ただし「悪意が生まれる」ことを防ぐことはできるはずである。
監視が常に行われていると知っていれば、持ち出してもすぐばれると知っていれば、そもそもそんな気をおこすような必要になければ、情報漏洩が犯罪だとしっていれば、こうした事態の発生も完璧とはいえないまでも防げるはずである。

管理人がこれまで携わってきた内部監査業務も実はこうした側面を持っている。
抜き打ちでないにしても、定期的に自らの業務が第３者にチェックされると、
意外と気が抜けないそうです。

ちょいとまじめな話を書いてしまいました。
昨日とはずいぶん違いますね。

ということでＮＴＴデータのＨＰはこちら