情報漏洩と災害対策

教育IT先進県の佐賀県で、個人情報j流出事件、が発生しました(コチラ など参照)。文部科学省の担当者も、慌てているらしい。個人情報流出は、どんなにセキュリティっ技術が上がっても、止める事は出来ません。技術視点でいえば「いたちごっこ」だし、ヒューマンエラーは絶対に０にはできないし、悪意を持った人も「一定数」か存在するから。

これと同様の事象、、、上述の文科省の対応を見ていて思ったのが、地震や大雨のたびに繰り返される「未曾有」「想定以上」の言葉。4月の熊本大分地震でも「こんな大きな地震が来ることは想定していなかった」とのコメントを何度聞いたことか。でも、災害はやってきます。

これらの教訓は、「対策のレベルを上げること」が必要なのではなく、「絶対の安全を作るにはどうすればよいか」もしくは「ここまで対策したのだからそれ以上の災害に対しては容認するという合意形成」、のどちらかへの「視点の変換」だと思うのです。

前者の例は、原発反対運動。絶対の安全は「原発を止めるしかない」という主張ですね。これは一つの方法です。個人情報漏洩に関しては、、、パソコンは使わない、ということになるでしょうか（まあ、紙のファイルでも持ち出しは可能だから、絶対とは言い切れないでしょうけど、ICT的な課題でクラッキング対応は可能になりますね）。

後者の例は、、、適当な例が思いつきません。原発でいうなら、「震度8以上の地震が起きたときはメルトダウンするかもしれませんが、それは諦めてください」ということに相当します。成績なら「PCで成績管理しているのだから、漏洩する可能性はあります」と開き直ってしまう？

この現時点では、後者の「合意形成」がなされないまま、後者が運用されていて、結局のところ「一般小市民」だけが「被害を被る」構造になっています。例えば情報漏洩に対して、無風凧が考えるレベルでの補償がなされた例は知りません。以前のベネッセ事件では迷惑金500円だったかな？ これで皆さん、納得できますか？

この話は、明日に続きます。