READY STEADY GO
午前中はカレーの作り置きをしたりTSUTAYAでCD見つくろったり。林田健司「花に水やるラヴ・ソング」を発見しました。
それからノリのいい曲を求めてL'Arc-en-Cielの「READY STEADY GO」を。このCD、フルバージョンの他にメンバーが一人ずつ抜けた「〜less version」というのが数曲入っている(つまりカラオケはhydeless)んですが、yukihirolessというのがナイスです。ドラム抜きかよ!! バカ(褒め言葉)だなぁ。
おしごと
で、午後から重役出勤。……うそですごめんなさい、夜勤の予定が呼び出されて前倒し出勤しただけです(泣)。
インタビュー
Internet WatchのACCS久保田専務に対するインタビュー記事が前後編出揃いました。
前編-個人情報を盗まれた人たちの不安を被告はわかっていない
後編-幼稚なセキュリティ研究者こそがネット社会で最も迷惑な存在
すでにあちこちで言われていますが、見事なまでにツッコミどころ満載なので、後ほどコメントします。少しコメントしてみます。
まず、ざっと全体を眺めてみて。主な内容は
- ACCSは被害者
- officeは加害者、許せん
- 個人情報保護のため、とか言いながら、絶対に楽しみであげつらってたにきまってる
- 個人情報が漏れた被害者には申し訳ない気持ちはある
- でも法的責任まではないよね
- コストの兼ね合いもあるから、何が最適解なのか、誰が責任を持つべきなのか、というのも難しい問題だしね
- 適切な報告さえしてくれれば、我々は絶対に無視なんかしたりしないのにさ
というところでしょうか。
細かく見ていきましょう。
そうかなぁ? 彼のTea Room for Conference(すでに消滅)を見ていましたが、個人情報が漏れることによる危機、についてはいろいろと考察されてましたよ。確かに、温厚・穏便・紳士的とは言い難い物言いでしたが。
昨年11月下旬、研究員の男性からお詫びに来たいという連絡があって面会した。(中略)謝罪したいというのなら、私は人として会おうと判断した。しかし残念ながら、その時の彼の言動から謝罪の意志がまったく感じられなかった。
個人情報を盗まれた人たちの不安というか、(中略)彼はそういうことがまったく理解できないようだった。
ここでいう「流出」は、office氏によるものおよびその二次被害を指していると思いますが、それがなかったらそんなチェックはせずに済んだ、といっているわけです。……office氏にすっぱ抜かれておきながら、office氏以前には流出の可能性はなかったと考えてるんでしょうか?
一方、流出が発覚してからというもの、我々は個人情報の拡散を防ぐために、朝・昼・晩とファイル交換ソフトや2ちゃんねるなど、ネットのチェックをしており、ACCSの本来の業務に支障を来たしている。
やっぱり、「office氏以前に個人情報を引き出した人間がいる可能性」は頭にないようです。もう年単位で放置されていたというのに。
今年1月末には、彼がイベントで使用したプレゼンテーション資料が2ちゃんねるのアップローダに掲載される事態が発生した。彼が我々のところに来て、「『A.D.200X』の中では、自分が個人情報の流出をすべて止めています。自分自身もハードディスクの中に入っているデータを消去しました。大丈夫です」と明確に言ったにも関わらずだ。完璧に対処したと言っておいて、実際はボロボロと出てきた。
自業自得(キッパリ)。
この2カ月以上、この問題にかかりっきりの状況だ。
民事訴訟の趣旨として、これは正しいと思います。ただ、後の方で
個人情報を盗まれた、もしくは個人情報が拡散するような脅威にさらされた人たちに対する法益侵害の問題だと考えている。また、ACCSが個人情報を預かっていたことによって、流出させる側に回ってしまったことに対しての痛みを考える意味でも、裁判所のもとでその責任を明確にしたい。そのために、損害賠償というかたちで、問題を提起したつもりだ。
と言ってしまうと、せっかく「流出させる側に回ってしまったことに対しての痛みを考える」と真摯な態度を見せようとしたのも空回りですな。
法的責任を負うほどの注意義務違反がACCSにあったことにつながるのかはわからない。少なくとも、私はそこまでの注意義務違反はないのではないかと思ってる。
気になっていた、漏洩の被害者が共同で提訴した理由については、
だそうです。まあ、これはこれで理解できる(被害者としての)スタンスでしょう。全ての尻ぬぐいをACCSでやれ、という。名誉挽回のチャンスを与えてもらったわけですね。
「自分たちがひとりひとり弁護士を雇ってやるわけにはいかない。全部ACCSでやって欲しい」と要望された。訴訟に踏み切った理由としては、やはり人権を侵害された人たちから、ACCSとしてきちんと対処して欲しいという要望が強かったことも挙げられる。
上場企業、というカテゴリ化の是非はこの際論じても意味がないので置いておきますが、率直な感想を言えば「管理できないものを所持するな」の一言に尽きてしまいます。
もし注意義務違反だというような認定が下って、(ACCSの被害者に対する)損害賠償が成立するというようなことになれば、ガチガチのセキュリティをかけているごく一部の上場企業以外は、どこも個人情報を扱うことが困難になるのではないかとも思う。
言っていること自体はその通りなんですけど……やっぱり、「ACCS自身には責任はない」というスタンスがにじみ出ていますね。年単位で穴を放置してきたというのに。
コストとの兼ね合いから、どこまでセキュリティをかければいいのかということを検証するには時間がかかる。訴訟の話にもつながるが、レンタルサーバー会社の管理責任がどうなるのかという問題もある。仮にレンタルサーバー会社に管理責任があるとすれば、逆に我々はレンタルサーバー会社を選ぶ際にセキュリティ面を詳細にチェックする必要が生まれる。我々自身が今後、訴訟などを通してレンタルサーバー会社の法的責任や個人情報を引き出した人物の責任を明確にしない限りは、この問題に対して安易に回答は出せないだろう。
前後編通じて一番「見事だ」と思った*1のがこれです。無論技術者/研究者といえども人権や社会環境を視野に入れた活動をするべきでしょうが、それらやセキュリティを全てひっくるめて、可能な限りの最適解を探していくべきでしょう。バランスの問題かもしれませんが、上記のコメントからは「人権や社会環境の前にセキュリティ問題は制限(もっと言えば軽視)されるのもやむなし」というニュアンスが感じ取れます。それを軽視したが故に侵害される人権もあるんですがねぇ。
他者の人権や社会的環境のことは視野になく、単純に“セキュリティ”のことしか考えることのできない幼稚な研究者こそ、ネットワーク社会で最も迷惑な存在ではないだろうか。
というわけで、相変わらず「俺らは悪くない、悪いのあいつら」路線で論旨が展開しています。組織の力学としてそう振る舞いたい、振る舞わざるを得ない、というのは理解できますが、外から見てるとみっともない連中ですよねぇ。
最後に、Internet Watch編集部に尽きせぬ感謝を。この件に関しては、「いつが誰が何をした」という事実関係もさることながら、それぞれの当事者(の中の人)の真意(何を思い、何を感じ、何を考えているか)がなかなか見えてこず、いろいろな推測/憶測を呼んでいました。一当事者の公式なスタンスをかなり深くまで掘り下げて聞いた今回の記事はこの件を評価する上で重要な内容を含んでいます。この記事を掲載してくれたことに改めて感謝します。
*1:褒めてません、もちろん
ポリシー……?
ヨセフアンドレオンのセキュリティポリシー、だそうです。
http://www.josephandleon.co.jp/staff/security/policy.html
http://d.hatena.ne.jp/N0MURA/20040322#1079957624 (id:N0MURAさんによるミラー)
……この会社、脳みそ大丈夫か?
これに関してはツッコんでも益はなさそうなので、彼らの正気を疑うにとどめておきます。
おしごと
ぶっ続けで夜勤。きつー。
