またまたWinnyによる情報漏えい事故。
顧客情報を個人用PCにコピーした挙句、その個人用PCにはWinnyがインストールされていて○○タマ・ウィルスに感染して情報流出。
ここまで聞くと今年よく聞いてきたパターンの事故であり、「またか」という思い。

• [INTERNET Watch] NECフィールディング、顧客情報をWinnyネットワークに流出
  http://internet.watch.impress.co.jp/cda/news/2005/12/27/10369.html

しかし、この事故をおこした会社『NECフィールディング』のWebサイトを開いてみて口が開いた。あちゃぁ〜。

• NECフィールディング
  http://www.fielding.co.jp/
• ヘルプデスク業務における情報セキュリティ管理規格「BS7799-2」の認証取得について - NECフィールディング
  http://www.fielding.co.jp/news/htm/20051129.htm

セキュリティ管理システムの国際規格である「情報セキュリティ管理規格：BS7799-2：2002」の認証取得対象業務を拡大し、従来のiDC業務に加えヘルプデスク業務においても同認証を取得しました。
・・・
2002年9月には全社を対象として個人情報を保護する「プライバシーマーク」の認証を取得。

BS7799/ISMS認証、プライバシーマーク認証を取得していた企業でさえもこのような事故が簡単に起きてしまうということ。最近の構造設計偽装事件と同じように、このような認証も同じように実態に即していない上辺だけで認証されてしまっているということなんだろうな。（事実はそうだと思う。）

さらに、NECのWebサイトでは非現実的な対策が...。

• NECフィールディング株式会社からの情報流出について(2005年12月27日): プレスリリース | NEC
  http://www.nec.co.jp/press/ja/0512/2701.html

NECではこのたびの事態をきわめて重く受けとめ、NECグループ企業全体として、個人用パソコンでの業務関連データ利用禁止を再徹底し、情報管理の更なる徹底を図り、再びこのような事態を引き起こさぬよう全力をあげて取り組む所存であります。

こういった『情報管理の徹底』ってどうするんでしょうか？
つまり人間は過ちを犯してしまうもの、さらにWinnyなんて使っていて危険という認識がない社員がいることが問題なんである。社員を徹底して指導するというのであれば、再発は防げないだろう。もっとシステム的に重要なデータに対するアクセス履歴をロギングして監視できるようにするような対策が必要なんだろう。そんなシステムを作るためのソフトウェアはNECさんならいくらでもお客様に提案していると思うんだが。