2008年01月25日

情報セキュリティとルール(前編)

 まず、「事務連絡」ですが、右サイドバーの「時計」を読み込むのがやたらと遅いので外しました。こんなところで油を売っていてはまずいですよという軽い皮肉と、私自身が時計を確認するためにいれておりましたが、最近、やたらと重いので外しました。その他のツールもいじってシンプルな方向へもってゆく予定です。

 気がついたら、アクセスカウンターが20万を超えていました。こんなブログでも、お読みいただいている方に感謝いたします。アクセス数が減少傾向にあるのですが、さらに激減させることを書きますと、過疎地でも物好きな方はいらっしゃるようで、人様に情報を提供しようという志がない人間が書いているブログでも、「中の人、生きてる?」とか「長いから暇つぶしにはいいか」とか「外道」ならそんな感じで読むブログの一つなのかなと。

 ブログの管理画面を見たら、ページビューが一日4000を超える日が続いていて、アクセス数の割に変だなあと思うのですが、RSSリーダーで読み込まれた分を含んでいるようなので、ブログ本体にアクセスせずにお読みいただいている方が多いのかな思いました。ちなみに、さくらインターネットに移ってから、昨年1月までのページビューが累積で854,699件、ココログのときを含めると、937,347件で多いのか少ないのか、自分でもよくわからないのです。ちなみに、昨年の12月はかんべえさんの「テロ」で月間のページビューが69,251件と大幅に増えて、泣きたい気分になりました(本当はテロを抑止したいのですが、怒らせると怖そうだなあと。めったに怒らない方だけに、いってはならない一言で無言のプレッシャーを感じ、屈してしまいました)当初は顔見知りの方だけにご連絡を差し上げていたのですが、あまりのコメントの少なさに悲しくなり、「開放路線」へ転換しましたが、いろいろな刺激を頂いて恐縮です。

 さて、ネットで情報を発信しようという心意気はまるでないのですが、昨日の勉強会でふと思ったことがありました。どうも、日本人は情報はタダだと思っているのではないかという「寝言」です。その前振りがありますので、まずはそちらから。「余計なルールをつくると、守られるべきルールが軽んじられる」という話です。


 勉強会で話題になったのは、ICT(Information and Communication Technology)の専門的な分析でしたが、参加者の所属、年齢などがバラバラなので、「お題」を提供する方がかなり遠慮されていたご様子でした。お題を提供するのは若手が多いので、人によっては気苦労が耐えないようですが、「空気」が読めない、あるいは「空気」を読まない、時と場合によっては「空気」をぶち壊す、「俺様以外に『空気』」があるかという「外道」なので、あまり気にならないのですが、説明を伺いながら、ああ、気を遣っていらっしゃいますな、もっと突っ込んでしゃべってもいいのにと思っておりました。しかるに、セキュリティの本題に入ったときに、これまで企業その他の組織は「性善説」にもとづいてルール策定がされてきたけれども、これからは「性悪説」でルールを策定しないと無理ですねとさらっとおっしゃるので、思わずあたりを見回しました。所属はバラバラですが、超ドメな業種がほとんどなので、これは質疑応答で荒れるなあと。あとで、「ずいぶん挑発的でしたね」と尋ねたら、笑って逃げられたので、自覚されていたかどうかはわからないのですが。

 まずは、民営化された旧郵政公社の方が先陣を切りました。ゆうちょ銀行関係者の方が、セキュリティ強化でバカげたことになっているという批判から。ただ、いちいち書類をとりだすのにわざわざ鍵やカードキーで部屋に入って持ち出しては再び戻すという話を聞きながら、失礼ながら背中が煤けて見えました。別の業界の方が、そんなことをしなくても、機密性の低い部分はドアを開放してますよと怖い発言をされて、でも、そんなものだろうなあと。あるブログのコメント欄でみんなで金融商品取引法を有名無実化してしまえばよいという発言がありましたが、学者さんに言われるまでもなく、実務の世界ではどんどん骨抜きになってゆくのでしょう。情報セキュリティの話題が中心でしたが、実際には企業の内部統制や個人情報保護法案と密接に絡んでいて、ネタ振りをした方に聞いてみたら、その辺も話したかったようですが、話が広がりすぎるので抑えたようです。

 私は下っ端なので機密性が高い情報にアクセスする機会がまるでなく、実感がないのですが、部屋ごとに機密性のレベルを設けて入退出をチェックするというのはちとやりすぎではないかと。この辺の話に疎いのであまりわかっていないのでしょうが、政府が一律に企業の内部組織に関わるルールをつくってしまうと、冷害があまりに多くなってしまい、ルールが守られなくなってしまうのでしょう。他方で、情報漏洩などは深刻で企業にとってもリスクが大きい。ルールが必要なことは否定できないと思いますが、概ね適切なルールでなければ、極論すれば、ルールそのものの存在が軽んじられ、誰も守らなくなってしまうでしょう。ルール策定や制度設計にあたって私が肝要だと考えているのは、肝心のルールを守るよう、ルールを守るディスインセンティブを与えるような余計なルールを減らし、つくらないことです。「コンプライアンス不況」というのはやや大袈裟な感じもしますが、コンプライアンスを推進する際にも、必要以上にコンプライアンスを強制すれば、法を守ろうという精神が衰退してしまいます。もちろん、どの程度が「妥当」であるのか、「適切」であるのかは見極めが難しいのですが、どうもそのような地道な作業を行うこと自体、もちろん、大変な労力を要するのですが、この国ではあまり重視されない印象があります。

 久しぶりに、『その時歴史が動いた』を見ましたが、早川徳次のような人物は、傑出していますが、日本では決して珍しい存在ではないと思います(とはいえ、銀座線のコンクリートは衝撃でしたが。ボーっと乗っていることが多いのですが、あんなにすごいとはね)。問題は、いったんつくったシステムをよりよく改善してゆく努力があまりに評価されないことだと思います。交通や電力、ガス、情報通信などの物的なインフラストラクチャーのメンテナンスは、国際的にはどの程度なのかわかりませんが、けっして悪いわけではないと思います。問題は、日本人は法や制度など無形の部分での改革がどうも苦手な印象があることです。「コモンロー」を強調される方もいらっしゃるようですが、英米でも制定法の整備が進み、判例法に優先しているのが現状でしょう。あるいは、一時期は「暗黙知」の大切さが強調されましたが、どうも、この国では暗黙に共有している知識やさまざまなノウハウを意識化し、事後的に評価することが苦手であるという印象があります。

 日本人が「性善説」にもとづいて行動しているのか、「性悪説」にもとづいて行動しているのかという問題は私の手に余ります。ただ、情報という言葉は多義的であえて定義しようとは思いませんが、どうも情報を形式化する、別の言い方をすると、ある程度の知的能力があれば理解できる形に考えを落とし込むという点では、問題があまりに多いと思います。もちろん、最近の金融危機を見ていると、当たり前ではありますが、欧米とて完璧を期することはできないことを実感しますが、彼らの「復元力」を侮ることは、とりもなおさず、日本人のある種の「ひ弱さ」の裏返しであるように感じます。

 前振りが長くなってしまいました。「寝言」を忘れないうちに続きを書く予定です。
posted by Hache at 07:10| Comment(4) | TrackBack(0) | まじめな?寝言
この記事へのコメント
中の人、生きてますか?と、余命いくばくも無い老人。
日本人が性善説なんてのはまぁ、幻想ですね。逸脱行為に対する懲罰システムが働いている、ないしそれが働いていると思われている状態が"性善説”っぽく見えるでしょう。今はこのシステム崩れつつあり、というところでしょう。
Posted by 老眼 at 2008年01月25日 11:42
>老眼様

お久しぶりです。とても刺激のあるご指摘を賜り、ありがとうございます。「逸脱行為に対する懲罰行為」が法という形式化された制度ではなく、様々な慣習やあるいはそのように人々がみなしてきたというご指摘は、様々な日本社会の問題を考える上で大切な補助線だなと思いました。

厚かましい限りですが、今後も、「寝言」にお付き合い頂き、刺激を頂ければ、幸いです。
Posted by Hache at 2008年01月25日 23:39
寒い日が続きますねぇ、兄貴

情報セキュリティの話のうち、まぁプライバシーの話は別扱いということに同意しないでもないですが、例えばJ-SOXなんてのは所詮は投資家が騙されることによるマーケット全体での損害を減らしましょう、というだけの話なので、不正会計に対応するリスクプレミアムの減少による利益とJ-SOXへの対応による損失(企業がコスト増を嫌って上場を廃止するとかの間接的な物も含む)の差を最大にするように制度設計すべきなのですが、そういう議論はあまり聞かれなかったように思います。

法や制度、というよりは、ルールに関しての捕らえ方の話かな、とも思うのですよ。生産現場での不良品の発生を例に取れば、不良品の発生率を下げるのと後工程でチェックするのとを比較してコストが低くなる方を選べば良い、という考え方ではなく、不良品が発生するのは悪いことなんだからとことん不良品率の低下を目指す、とか。

まぁ不良品率については日本の製造業のアプローチの方が正しかったわけですが。「不良品率を減らす」というのと同種の情熱を「(人間が作った)ルールを守る」方に傾けると妙な話になる。なんとなれば、経済関連のルールというのは守ることそのものが正義だというのではなく、そのルールを守ってプレイしてすることで参加者の利益が最大化されるという視点で作られるものだから。サッカーではオフサイドは反則ですが、オフサイドが「道徳的に」悪いことだと考え、相手にフリーキックが渡るだけではなくオフサイドをした選手が選手生命を絶たれる、なんて国があるなら、その状況の下でのゲームメーキングはルールが想定したものと違ってきちゃいますよね。
Posted by mitsu at 2008年01月26日 09:41
>mitsu様

うーん、なぜか刺激のあるコメントを頂くと、不思議と別の角度からコメントを頂いて、恐縮です。J-SOX制定にいたる議論をフォローしていないので、能力を超えてしまいますが、経済的な自由化でも同様の傾向がありますが、政策のハーモナイゼーションが意識されていたのかもしれません。

「経済関連のルールというのは守ることそのものが正義だというのではなく、そのルールを守ってプレイしてすることで参加者の利益が最大化されるという視点」は大切だと思うのですが、「参加者の利益を最大化」するという条件を満たすルールというのは存在しない可能性もあります。表現が悪いかもしれませんが、「こんなもんやろ」(こういうときは関西弁が便利だなあと思います)というあたりが見えるだけでも、ずいぶん見通しがよくなるというのが実情だと思います。

悩ましいのは、「オフサイドをした選手が選手生命を絶たれる」というのは、それが法のレベルで生じるのは稚拙なのですが、もし、事前の規制が緩すぎると、法による規制の結果としてではなく、経済活動での逸脱行為自体の結果として、そのような事態が生じる可能性が無視できないことだと思います。今回のルールの場合、「不良品の発生率を下げる」ことと「後工程でチェックする」ことの両方が必要で、なおかつその比較考量を行うだけの蓄積がないことが問題だと思います。
Posted by Hache at 2008年01月27日 00:10
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/9982567

この記事へのトラックバック