とっても素朴な疑問に、損得だけなのか？という問題がある。

法律とは、そもそも社会規範のもの。そこに損得があるのか？ということ。

と、書きながら現実に損得が存在している。自爆な質問だった(笑)

で・・・

誰が得をすれば、誰かが損をするものだ。お題にもどり、じゃあ誰なのか？

ここでお題の個人情報保護法で規定される、個人情報の範囲を明確にする。

個人情報とは、

生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。

となっている。

情報漏洩問題で、５００円の金券を配った事例などは、損をした人もいれば、５００円の金券をもらってラッキーだった人もいる。ようは、その情報を計るモノサシが存在しないということ。個人個人に問題のレベルが異なるからだ。

ちなみに、５００円の計算根拠となったらしい話では、恐喝されていた３０億円を最終的に５９０万人の漏洩数で計算すると、５００円に近い数字になる。

ここでのモノサシは、恐喝をした裏相場とでもいう数字で計られたようだ。

一方、企業においては、Pマークなどの取得をしているにもかかわらず、大手印刷会社のような事件が起きる。取得したものと、実際の現場が異なっていること。これはよくあることだが、この事件では、”よくあること”で、企業の責任はすまされるのだろうか？

じゃあ、企業も取得費用のために損をしていたかと言えば、そんなこともない。

都合よく、実態も出来ていないままに、認定企業！なんていっている。

確かに、持ってないよりも持っているほうが、判断基準の一つになるが、持っている＝万全ではない。

お上においても、従来開示されていた天下り先の情報も、個人情報保護の観点から。。。なんてことで、非開示になった。正しいリテラシーも認識もないままに、皆が都合よく判断するための、切り札になってしまった。

結局、保護法でも、情報セキュリティでも、妥協点のトレードオフを見つけることが必要だ。

１００％があり得ないのだから、どこにトレードオフを置くか？ここが一つのポイントだろう。

で。。。結局、誰が得をしたかといえば、ちょっとだけ保護法を知っている人が、都合よく使った、使えた時に、得をしていただけ。

逆に言えば知らないから、損をしていた人が山ほどいることと、 都合で情報コントロールしていた、されていた人たちは、連鎖的に同じネタで自爆している。

全体が見えずに、チェリーピッキングすると、やはり知っている人が得をしているのだろう。

現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか？

ほとんどの企業において、情報セキュリティ教育のコンテンツは一巡しています。新たに知るべく脅威などもありますが、ほぼ新しいコンテンツはありません。

技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。

一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。

詳細はこちらへ