口座番号など、顧客情報7万件紛失=三井住友銀
コメント
注目のコメント
今回のデータが解読できるかできないかについては意見が分かれそうですが、問題は必要な水準を満たしていたかです。
開いた口が塞がらないレベルのミスですが、暗号化の強度や方式はFIPS140-2に準拠していたかなど、その他諸々の危機管理水準はどの程度であったか、業界団体や法律と照らし合わせて明らかな過失責任がとえるか否かが争点になってくるでしょう。
とは言えokiにはsliに反したということでもうすでに明らかな過失責任がとえる状況です。
こういう時に蜥蜴の尻尾だけ切って、本体の委託監視体制を問うことができないともともこもありません。
また、今回流出したような情報は個人情報という情報区分の他に、安全保障上意味を持つ可能性のある情報という捉え方ができ、米国ではCUIに該当します。
我が国にはこのような情報区分が存在せず、また、どのような水準で守らなければならないかなども決まりがありません。
外国勢力の手に渡っていないかなど調べることもおそらくしないでしょう。
このような事案は、「んー調べようがないね。過失責任は明らかなんだしクローズにしよー」という感じで闇に葬られますが、その多くが国外へ抜けているわけです。
自覚を持たんといかんですね
ましてや金融機関
下請けの管理もできないんじゃ。。。と言われないために今回の向き合い方に注目です。少なくともかつて勤務していたころは、この手のルールの遵守に実にもって厳しかった三井住友銀。「OKI社側の独断でそのまま持ち出した」とありますが、支店レベルで業者さんが行う作業の監視までは手が回らなかったということでしょうか。情報漏洩が顕在化する前に公表に踏み切る姿勢を是としつつ、これが作業過程で生じた単純な紛失で「情報は暗号化されており、外部の者は解読できない」処置が機能することを念じます。
【流出の7万人は最悪想定をするもの】
流出された70,000人は、いくら暗号化され解読できないと説明を受けても信じてもらえるはずもないし、解読できる天才が欲しい(悪用できる)と思って盗んだかもしれないとまで想定すると思います。
三井住友銀行もOKIに責任があるという論調が強く、イタイ。
