« お悔やみ | Main | 納税者番号 »

2004.01.06

勇み足で不正アクセス2

  不正アクセス禁止法の件で、データバックアップメモ - extended -さんからのトラックバックが「勇み足で不正アクセス」の記事に対してあった。技術系の人たちの考えでは、問題のサイトは(技術者の)一般的な常識を逸脱したずさんな管理が行われていたようにもとれる。そこで改めてこの件を、自動車事故との比較で再考してみる。

  自動車は、市場に出る前に、安全基準による検査に合格することが求められ、市場に出てからも、資格を持った整備工場での車検によって定期的に安全性を検査され、事故発生後は警察により検証が行われる。メーカーが設計の欠陥に後から気付いたときは、リコールの形で公表、修理をしなければならない。
  一方、運転者に対しては、運転免許を取得することが求められ、免許更新のかたちで、定期的に運転能力と適性の検査があり、交通ルールを甚だしく破ることがあれば、免許の停止もある。
  これを、情報サービスに置き換えてみるとどうなるだろうか。自動車メーカーはベンダーに、運転者はユーザ企業に、個人情報をユーザ企業に預けた個人は、例えばタクシーの乗客に、それぞれ置き換えてみる。事故のイメージは、タクシーが事故を起こし、乗客に怪我をさせた、といったところか。事故原因は、ブレーキの欠陥、整備不良、運転者の運転ミス、などがあり得る。
  そのように比較してみると、事故防止の枠組みがおぼろげに見えてくる。
・ソフトウエアの品質は一定基準を満たすよう、流通前に公的機関の検査を受けること。
・ソフトウエアは定期的、かつ安全基準改訂時に公的機関による品質検査を受け、必要に応じてアップデートすること。
・ベンダーは、ソフトウエアの欠陥に気付いたときはリコールにより、公表、回収、修正を速やかに行うこと。
・事故が起きたときは、公的機関が原因を検証すること。
・ユーザ企業は、安全管理の公的資格を取得し、定期的に更新すること。
といったところだろうか。
  リコールによる公表をすべきかどうか、公的機関の関与ではなく民間だけで対処すべきかどうか、など、検討課題はたくさんあるが、枠組みの一例と考えたい。

  自動車の安全性チェックの仕組みは、自動車誕生の当初からあったわけではない。1960年当時の米国では、走行中に車が横滑りを起こしたり、タイヤがはずれる事故が相次いでいた。しかし自動車メーカーは、事故の原因はドライバーの側にあるとして、責任を認めなかった。そこで、弁護士のラルフ・ネーダーが中心となって、現在では消費者運動として一般的になった運動を起こし、今に至る自動車の安全管理の制度ができあがってきたのだ。情報サービスの安全性も同様に、これから長い時間を経て形成されていくのだろう。
  ここでは、ケーススタディとして自動車事故を取り上げて比較してみたが、個人情報漏洩が、自動車事故と比較できるほど重いものなのかどうか、議論の余地はある。厳しすぎる規制は、社会的にはロスを生むだろう。また、情報システムの進化の早さも、現在の自動車におけるものとは、単純に比較できないかもしれない。しかし、事故を防ぐための一般的な枠組みとして一応の完成を見ている自動車のケースは、参考にはなるのではないか。

|

« お悔やみ | Main | 納税者番号 »

日記・コラム・つぶやき」カテゴリの記事

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 勇み足で不正アクセス2:

« お悔やみ | Main | 納税者番号 »