緊急掲載 JTBの個人情報流失を受けて

知人がメールを送ってきました。参考にしてください。

 

JTBで大量の個人情報流出がありました。現代のサラリーマンは、非常に危険

な立場に立たされているかもしれません。これで多くの企業がウィルス感染への

対策をとるでしょうが、中には「朝礼でセキュリティに気を配るよう訓示する」

「大きな声で訓示、大きな返事をさせる」「訓示の回数を増やす」で終わるとこ

ろもあるかもしれません。もしそれだけの対策しかなされない中で、会社の命運

を左右するような流出事故を起こしたら、その社員はアウトです。

 

食品工場で食中毒が起こったとします。原因は体調が悪いにもかかわらず出社し

た人がいたからかもしれません。とにかく工場は操業停止。保健所の検査と調査

が行われ、改善勧告とそれに対する計画書が提出されます。責任は当人だけでな

く、その上司、経営陣まで及びます。

 

流出事故の場合は、一切のネット接続を断つというような処置は取られません。

いずれ事故の発表とお詫びの記者会見、そして何らかの対策がとられるでしょう

が、その間十中八九、事故時と同じ対応のまま放置されます。犯人にとっては、

クラッキングがうまくいったら、直後は、その会社に対して全く同じ手法が通じ

るということを意味し、社員は狙い撃ちの集中砲火に、何の援護もなくさらされ

ます。

 

JTBのクラッキングは昔からある伝統的な手法の応用です。最初に定食屋にい

たサラリーマンの胸の社員証から、社名、部署、姓名を覚えます。次に電話をか

けて本人を呼び出しこう言います。

「総務部ですが、**年度の社会保険制度の改正で、あなたに還付金が発生しま

す。手続きはこちらでしますので、本人確認をお願いします。生年月日は?」

これでけっこうな確率で社内システムのパスワードが手にはいります。

 

JTBでは大口顧客の名前を騙ったメールだったので、今後は添付ファイル付き

のメールを区別するなどの処置がとられるかもしれませんが、犯人にとってはこ

れ幸い。顧客を名乗って「最近当社からのメールが届かない」とクレームの電話

を入れれば、その差出人名のメールだけは届くようになり、狙いが絞りやすくな

るでしょう。

 

企業の流出対策には、「これさえやっておけば安心」という手法を求める心理が

あります。犯人からすれば、どんな対策をとられたにせよ、安心している相手は

理想的なカモです。本当に必要なのは、狡猾で卑劣な犯人と、終わりのない泥仕

合を続ける覚悟です。

企業は早急に「これに従っていれば、事故の際も社員の責任が問われない」メー

ル操作手順を作り、実際の操作研修を繰り返し行い、研修修了者に危険物取り扱

いに準ずる手当を支給する必要があります。コンサルタントや新システムを入れ

て安心しているような会社では、社員は犯人と会社の無理解という、危険の板挟

みになっていると言っていいでしょう。