もう随分前の出来事なので、まあ今更感もあるが尼崎が市民の個人情報46万人分が含まれたUSBを紛失した。
https://www3.nhk.or.jp/news/html/20220623/amp/k10013684811000.html
このニュースで狭い世界で話題になったことといえば、実際に紛失した人物の所属先である。
当初は尼崎→BIPROGY(旧日本ユニシス)→再委託先という情報だったのだが、後日、さらなる委託先の職員であったことが判明した。
元請のBIPROGYを一次請とすると人物の所属元は三次請となる。
この多重下請け構造をみて巷では「SESの闇」とか言われていたが、実際そうなのだろうか。
この委託に次ぐ委託を見たときにかんじたのは「大して深くねえな」だった。まあIT業界にいる分には、三階層なんて珍しくもなんともない。
嘘か真か某メガバンのプロジェクトなんて、七次請があったと聞くから、三次請なんて可愛いもんだ。SESの闇というには明るすぎる。
最初にこのニュースを聞いたとき耳を疑ったのが、「USBに本番データを入れる」という運用だ。はっきりいって怖すぎる。こんな運用をしていたら、遅かれ早かれ今回のような事故は発生していただろう。SESの闇でもなんでもない。
想像だがこの委託先の職員は、セキュリティ教育を受ける機会がなかったのではないか?
個人攻撃はしたくないが、はっきりいって本番データを扱うということにたいして注意が足りなさすぎる。
作業が終わったら原則その日までにUSBを返却すべきである。最悪、その日までに返却できなかったら、文字通り家まで直帰すべきであった。
「SESの闇」という意味では、ここはまだ議論の余地があると思った(そもそもこの人エンジニアじゃないじゃん、SESじゃないじゃんという気持ちは抑えつつ)
一番理想なのは、もちろん所属先の会社から教育を施してもらうことだろう。しかし、SESや派遣は所属元から離れていることが多い。また、現場にフィットした教育ができるかというと怪しい。
なので、このようなセキュリティ教育は案件参画時に元請のマネージャーなどが施すことが多い。やってはいけないこと、もし違反してしまった時のペナルティなどを懇切丁寧に教える。派遣社員やSESも客の偉い人から言われると大体は守るものだ。
ここまで書いていて思ったのだが、この運用そもそも尼崎市には内緒でしていたから公に教えることも出来なかったのではないか。となると、やはり責任は元請に大きいと言わざるをえない。