「情報セキュリティ」という呪文が、日本をダメにする 2017.01.04

日本のITの世界では、猫も杓子も「情報セキュリティ」だ。
「個人情報は大切だから機密性を高めなければならない」
「組織の大事な情報が誤って送信されては大変だから、添付ファイルは強制的に暗号化しよう」
「送るメールには「秘密情報」と書いておけば、その対応責任は相手にも生じることになるから、いいだろう」
「電子メールは外では見られないようにする」
「出張にはノートパソコンを持って行かないようにする」
「ローカルには一切ファイルは保存できないようにする」
「ログを収集して、悪いことをやっているやつがいたら、わかるようにする」
「閲覧可能なHPは制限する」
「プライベートなメールは会社のメールアドレスからは送らない」

実にくだらない。

まず、情報セキュリティとは、機密性のことではない。
機密性に加え、完全性と可用性を確保することが情報セキュリティだ。
これに対して日本では、機密性しか考えていない馬鹿がほとんど。多少ましなところで、完全性を口にする程度だ。
可用性を真剣に検討している組織は、日本ではついぞ見たことがない。

海外といろいろな情報のやり取りをしているが、添付ファイルにパスワードがかけられていたことは、まずない。
ISOの会議に出ると、たまに聞かれる。「どうして日本人はなんでもパスワードをつけて送ってくるんだ？」
日本では強制的にパスワード付きで送られてくる。
どうでもいいファイルも何もかもすべてパスワード付き。
後日、パスワードを探すのも大変だ。
結局、送る側の言い訳のために、受信側が迷惑をこうむることになっている。

特にこういった機密性過敏症に拍車をかけているのが、個人情報保護法というくだらない法律だ。

個人情報保護法によって、企業は、パソコンをなくしただけで、それがどんな暗号化やパスワードをかけているかによらず、すべて監督省庁に報告しなければならなくなっている。
「お上」に怒られるのは嫌だから、怒られないように、がんじがらめの施策だけを導入するようになる。
お上に報告することになるから、どこが何をしたということが明るみに出る。
だから隣の企業もこぞってそこに余計に対策を講じるようになる。

こうやって個人情報が騒がれるようになると、今度は個人にそれが波及していく。
挙句の果てに、学校の連絡網さえなくなってしまうという愚かな事態になる。

個人情報は、個人が入手できなくなる一方、当然に国はすべて把握している。
それをさらに強固に把握しようとするのが特定個人情報、いわゆるマイナンバーだ。

マイナンバーになったからと言って、劇的に手続きが簡単になるわけでは決してない。
なぜなら、マイナンバーを利用する税、戸籍、銀行、パスポート、運転免許などのシステムは一切連携する予定はなく（個人情報保護の観点だそうだ）、結局個別窓口での対応にしかならないということと、今度はそれをなくした際の再発行がものすごく煩わしいこと、それと、更新手続きも必要になるということだからだ。

けれど、「個人情報は大切だから守らなければいけない」と子守歌のように聞かされ続けている人たちは、それがほかの人に出ないことしか考えない。
それがわからないことによるデメリットには目もむけない。

なんにせよ、今の日本のITの世界では、「情報セキュリティ」と唱えれば、たいていは誰も文句は言わない（それを否認して何かあれば自分音責任になるのだから）。
そうして、現場部門も、とりあえずその呪文だけを唱えておけば、仕事をしている振りもできる。

AIについても、クラウドについても、おそらくこのせいで、おかしな方向に向かっていく。そしておそらく、他国からどんどん遅れていくことになる。
現にAIについては、国が主導で方向性を定めるような協会を設立することになるらしい。

こうやって、本来の意味からかけ離れた「情報セキュリティ」という呪文が、この国をダメにしていく。

今のまま進んでいったら、日本のITは、業務の足かせにしかならなくなることは確実だ。
そうなれば、情報部門の仕事だってなくなっていく。
情報システム部門の人間は、今一度、情報セキュリティの本質を考え、それを経営に伝える努力をした方がいい。
そうして経営は、自らの保身のための情報セキュリティではなく、事業継続のための情報セキュリティを模索することが必要だ。