早速トラバトラバ。
木村剛氏:「
システム開発者はシステムを信用しない」
上記のネタを記事にしてくださっていたxiaoxiaさまのとこの「
システム開発者だからシステムを信用できない」
当初は、インターネットを始めたころには絶対個人情報を載せなかった。そのころはシステム開発の仕事に携わっていたわけではないのだけど、情報がどう動いてどう扱われているのかがわからないところへ預けるのが怖かったのだ。
システム開発の仕事に関わるようになると、何をどうやっても必ず漏れることがあるというのを理解するようになる。何をどうすれば情報が手に入るかもわかるようになる。下手するとすぐ手の届くところに個人情報のデータベースが転がっていた時期もあった。xiaoxiaさまが
ネットワークなんて、スカスカなものであることを知っているから、
インターネットを介するもので、自分の財産を動かそうとは思わない。
または、スカスカであることを承知で、それを使うのだ。
以前雑誌(多分日経バイト)で読んだのだけれど、
アメリカでは、流出して困る情報はネットに乗せないのが常識だとか。
どんなに隠したって、結局、人間が関与している以上、「絶対安全」はない。
とおっしゃっているように、今の私は「スカスカ」なのを承知で使う。流出して欲しくないデータは、絶対に載せない。それでもある程度信用をおいてよいラインが自分の中にあり、その基準をクリアしていないところでは入力しないし、可能な限り、そのシステムを作った会社についてリサーチしてから利用することにしている。幸いなことに、今時点でインターネットで情報を入力したことが原因での漏洩被害はない。少なくとも報告は受けていない。それでも、私も情報漏洩の被害を受けている。大手で何社か。興味深いことにそれらすべてが、オンラインで情報を入力し送信したことが原因ではない。
私は、金融系のシステム開発に関わったことはないので、そのあたりに関しては論じるほどの手駒を持っていないが、少なくとも自分が関われる可能な限りシステムに対しての安全性を追求したいと思っている。自分が使いたいと思えないようなシステムは作りたくないもの。そんなものを作ったなんて、人には言えないし。同じシステム開発者としては、関わる開発者たちが自分たちの使いたいと思うシステムを作ってくれていることを願うのみである。
ただ、ひとついえるのは、セキュリティや安全性のために費やされる時間やコストに、大抵の企業の上層部やクライアントは価値を見出してくれないということである。そもそも、そんなヤツが上におさまってるのが間違いなのだが、一社員にはそれを落とす権限もあるはずもなく。開発者は、我が身に降りかかることだから、みんな真剣に安全を考えていると思う。思うけど、会社やクライアントから押し付けられた予算とスケジュールでは、そこまでカバーしきれないことが多々あるのも現状なのである。クライアントの無責任で奔放な仕様変更や要求、会社の上層部の決定の遅れ、そういったものが開発工期を圧迫し、要求仕様を最低限網羅するだけでいっぱいいっぱいになってしまうのだ。それでも必死に対応する。だから、SEは殺人の職業だといわれ、プログラマは燃え尽きてしまうのだ。身びいきかもしれないけど、すべての開発者がいい加減な気持ちで開発しているわけではないということは知っていただきたい。クライアントや上層部の無知無茶のために泣く泣く涙をのんでいるのである。もちろん、たまには論外なヤツもいますがね。。。SEやPGの中にも。
もちろん、そういう状況を打破すべく、各自の努力や提言は必要だと思うが、それも限度がある。少なくとも会社組織の中に属したことのある人ならば、ある程度ご理解はいただけると思うが。だからこそ、利用者からの声が必要なんだと思う。お金を払う側、サービスを受ける側が声を上げれば、企業や発注元のクライアントは、安全やセキュリティのために使う時間やコストを「価値」あるものと見てくれるようになるのだ。
なので、利用者、クライアント側には、システム化し、情報をデジタル化するということには、それなりのリスクがあることを踏まえておいて欲しい。リスクを0(ゼロ)にすることは、事実上不可能だ。しかし、リスクを把握していれば、適切なリスクヘッジはできる。予想の範囲を超えないリスクには対応できるものだ。運用として対応を含めることも可能である。危機管理体制が整っていれば、最悪の事態は免れることができるものである。
しかし、みなさん、大事なことを見落とさないでいただきたいのだ。
私の場合
漏洩した情報は、すべてアナログデータからのスタートなのだ。
すべて郵送、または対面で申込書を書いたデータである。
インターネット上で入力するデータだけが漏洩するのではない。自ら入力したオンライン上を流れるデータだけが漏洩するのではない。今、企業はこぞってシステム化を進めている。意外に企業は驚くほどアナログでデータを管理している。それをことごとくシステム化していく動きも盛んになっている。電話やファックス、持込、対面など紙ベースで申し込んだ個人情報も、私たちがあずかり知らぬところで、コンピュータに登録され、デジタルデータ化され、オンライン上で共有されているのである。これでも、「エンドユーザ=個人情報の主」である場合は、開発会社もクライアントも気をつけるようにはなってきている。が、「エンドユーザ≠個人情報の主」のシステムというのは、一番信用できないと思っている。痛い目を見るまで、その重要性を認識しない人間が多いのも、そういうシステムなのかもしれない。
結論は、情報というのはどこでどう頑張っても漏れるものである。漏れることがいいとはいわないが、人が関わっている以上どれだけ手を尽くしても、やはり手落ちはあり、バグはあり、悪意も存在するのである。私としては、情報が漏洩しないように気をつけることは最低限の当たり前のことであり、漏洩した時に慌てふためくことないような対策と心の準備を日ごろから心がける必要があるのではないかと思うのだ。怖いなら使わなければいい、けど、漏れる事も覚悟の上で使うのが本来の使い方なのかな、と思う。
前述の記事「
ACCA、34万人分の顧客データ流出を確認」でも言及したが、安全は心がけなのだと思う。守る側の人間の意識、情報を提供する側の意識の高さが、情報漏洩やそれによっておきる迷惑行為を防ぎ、少なくするのではないだろうか。
最後に爆弾 >>
某ネットバンクでのお話
(記事拾得場所は
プログラマー(♀)の怠惰な日々のrica-nさまの「
システムと顧客の狭間には亀裂と危機が横たわる」より)