顧客情報は、いかにして漏れるのか
顧客情報管理の、ありがちな実態
数年前のことです。私は「稼がなくては」という焦りから、あるICT企業のパートタイムSEとなりました。労働条件も雇用形態もブラックそのものでしたが、今回のテーマは、クライアント企業さんからお預かりした顧客情報の管理です。
そのICT企業では、2ヶ月や3ヶ月単位で辞める従業員が珍しくありませんでした。長くても半年。私は9ヶ月でした。年単位で勤務し続けられる人には何か特別な背景があるのだと思いますが、それは私には理解の及ばないことです。
すべての社員が、自分の担当しているシステムの顧客名簿を直接扱うことができました。コピー、改ざん、持ち出し、やろうと思えば何でもできたでしょう。
私は、ある団体の会員名簿管理システムと、会員向け通販システムに関わっていました。会員数は10万人ほどの団体ですが、通販で取り扱う品目は多くなく、同時に扱われているのは10品目程度でした。
社長からは(正確にいうと良くある偽装請負で、直接の雇用主ではありません)
「個人情報の取り扱いには気をつけてください」
と、最初に一言メールで指示されたのみです。
何か事故があったら?
クライアント企業さんにとっては、「システムをお願いしているA社さんの不始末」。
仕事を直接受注しているA社にとっては「実務をお願いしているB社さんの不始末」。
B社にとっては「うちの正社員ではない、もういなくなったスタッフの不始末で、本人に連絡が取れない」。
そんなふうに責任をかぶせられて追い出された社員は、過去に何人もいたそうです。
A社やB社が切られる心配? たぶん、ありません。同等にダンピングしたコストでシステムを請け負う企業は他にはないでしょうし。それに、第三者からは極めてわかりにくい、増築に増築を繰り返した田舎の温泉旅館のようなシステムでした。リプレースには相当の期間と費用が必要と思われます。
もしA社が責任を問われても、形式的にB社がC社にすげかえられて、それで責任が取れたことになったのではないでしょうか。
私はブラック労働に痛めつけられはしましたが、「責任をかぶせられた上で追い出される」という目にだけは遭わなかったぶん、マシだったのかもしれません。
それでも社長の腹心である営業のオヤジに嫌われ、誰もログインしていなかった時間帯のデータ消滅の責任を負わせられそうになったりするなど(証拠がありましたから、それで営業のオヤジを黙らせることができましたけど)、さんざんな目に遭いました。
それから、5年以上もの時間が経過しました。たぶん、このまま、あの会社からは安全に無縁になれるのだと思いたいです。
顧客情報の保護はできるのか?
問題は、顧客情報が漏れているかどうかのチェックすら不可能なシステムであり、体制です。何らかの改善は可能なのでしょうか?
「絶対に漏れない」は、たぶん無理。
「漏れる可能性に対して多重の対策がある」「漏れても早期にチェックできる」が精一杯です。
私が関わっていた会員管理+通販システムには、何の対策も取られていませんでした。
開発費用は数千万円規模、月々の保守費用は数百万円規模、スタッフはフルタイム勤務の中級技術者に換算して1.5人~2人程度です。人件費への配分を増やしても、3人が限度だったかと思われます。
「セキュリティに対しても人員と費用を投入し、技術的な予防と管理を行う」ということは、この規模でも、やろうと思えばやれたかもしれません。やるかやらないかは、システムを受注した会社の姿勢によります。その会社では、まったく取り組まれていませんでした。現在はどうなのか全く知りませんが、少なくとも2008年~2009年にかけては。
顧客情報を保護する/しない の差は、どこから来るのか?
銀行のシステムでは、その会員管理+通販システムのような「ゆるゆる」は、当然ながら許されません。
銀行のシステムでも個人情報漏洩の問題は時折起こりますが、顧客は「漏洩しない」を期待していますし、銀行側もその期待に応じる努力を最大限に尽くします。
銀行に、特別なモラリストが集まっているからではありません。
ひとたび個人情報が漏洩すると、少数の小口顧客の個人情報であっても、銀行の企業活動そのものに対する大きな打撃となる可能性があるからです。
銀行のシステムには一般的に、顧客情報を漏洩させないための多重の対策が含まれています。漏洩する可能性に対する対策、漏洩した後に被害を最小限に食い止めるための対策。
そのためには、費用がかかります。でも銀行の場合、システム開発費用に数千億円をかけることも可能です。だから、考えられる限りはベストの対策を組み込むことができるのです。もちろん、数千億円をかけられる背景には、その投資を将来の利益として取り返せる可能性があります。数千万の顧客を持つメガバンクにとっては、数千億円の投資は「必要だから、する」という性格の出費でありえます。
でも、会員数数万人~10万人、年間売上が数億円程度のシステムに、同じことを要求しても実現は不可能です。
情報セキュリティへの投資に特別な意味を見出すクライアント企業がシステムを発注したのであれば、少しは状況は変わるかもしれません。でも求めることの可能な堅牢さには、おのずと「価格なり」の限界が生じます。
もし、当初は充分な予算を投入し、関わる人の教育・訓練・労働条件まで配慮した上でシステム運用が開始されたのであるとしても、安心はできません。スタッフはいつか入れ替わります。年単位で、当初と同じ状況を維持することは可能でしょうか? 人事マネジメントにも充分な費用を投入しつづけることが可能であれば、可能かもしれません。でも「絶対」は無理です。
個人情報は「漏れるべくして漏れる」と考えるしかないのかも
結局のところ、
「自分の個人情報は、もちろん漏れないことが望ましいし、漏れないことを期待する。けれども、漏れるときには漏れるべくして漏れる」
と腹をくくっておく必要があるのでしょう。
「リスクがあるからコンピュータもインターネットも利用しない」
は、今の世の中では不可能に近いことです。それに自分自身が直接利用しなくても、現代人がコンピュータやインターネットと無縁に日常生活を送ることはできません。
もしかすると近未来に、農産物や海産物と同じような「トレーサビリティ」が情報についても実現されるのかもしれません。どういう新技術が、どういう対策を可能にしてくれるか分かりません。ソフトウェア科学の前進が、画期的な安全性を実現してくれるかもしれません。でも「100%の安全」はありえません。
そういう危うい基盤の上に、辛うじて成り立っているのが、現代人の生活。
そのことを時々思い出して「怖いなあ」と自覚するくらいが、一般の利用者として出来る精一杯なのかもしれません。
蛇足
手前味噌ですが、このような問題を考えるにあたって、良い参考書の一つではないかと思います。
