  |
はてなキーワード: 流出とは
流出おじさんだが多重派遣の孫請け以下かつ、元の派遣会社が潰れてるらしいね
その場合、おじさん個人に対して賠償請求したり罪に問うたりできるの?
ややこしいので、2次請けまでと単純化して考えるとして
最終的な大手メガバンとかが派遣元に対してふざけんな弁償しろというのはわかる
しかしややこしいのは、こっからで、大手メガバンが違法労働者である多重派遣のおじさんと
直接的にも何らかの契約をしてるとは考えられない
するとしたらS社とA社、A社とB社、B社とおじさんだろう
まずB社だが、ここは潰れてるので責任を問えない
S社からおじさんには、何の契約関係もないだろうから(違法労働者だし)秘密保持の義務はないように思える
A社とおじさんの関係がややこしいのだが、ここでおじさんが派遣先と秘密保持の契約を結んでいることは考えられる
しかしA社に取ってS社のソースコードが何の関係があるのだろうか。そもそも秘密保持契約を違反してないのでは?
A社がS社から請求された損害賠償をおじさんに請求するということはできるんだろうか?
この件を、ここまでクローズアップしてしまう。それが日本社会だ。
こんな社会に先は乏しそうだな、と思ったのでそのお気持ちを開陳する。
今回の流出が、具体的にどれだけのセキュリティインシデントなのか。システムの外枠の外枠が朧気に想像できる断片、それが流出したとて、どういう被害に繋がるのか。
確かに、ソースの断片からミドルウェアやOSが判明したり、例外処理の徹底具合などから「ザルそうかどうか」などは分かるだろう。
だがそこから、実際どういう被害がとの程度の確率で起きるか?というと、全く問題にするレベル(=実際にシステムがクラックされるレベル)にない。
(ちなみに既に公式声明が出ていて、大事ではないとのことだ)
可能性を指摘するツイートがあったとして、それは別に悪いことではない。だがリスク懸念とは、被害の量と確率で求まる期待値として捉えるべき定量的な概念だ。
にも関わらず「私はITのことはよくわからないから」なんていう連中は、意図的にこの程度論を無視する。彼らはITの詳細について想像し推論できるだけの学習を放棄した。そのくせに、いやだからこそなのか、「でも、被害が起きないとは誰にも言えないでしょ!?」などと言う。吟味できず何もできず、挙げ句、唯一できることに勤しむ、つまり「わーわーと騒ぐ」。
本件の別の論点として、なるほど、部外秘のものが公になったらそれは問題だ。だがそれはガバナンス上の問題であって、セキリュティ上大して問題では無いことは先述のとおりだ。
だがこの2つを切り分けるには、IT上の想像力が不可欠だ。でなければ〇〇問題と△△問題は、「どちらも要するに問題なんでしょ?」としか思えない。知らないのだから、この件について判断する能力がない。
もしセキリュティ水準策定が意思決定される過程に「ITに疎い責任者」なんてものがいた日には、地獄でしか無い。その人には何もわからず、何もできないからだ。
ネガティブな想像力が社会を覆っている。
不安な人々は、実は助長されたい。不安をエサとして成長し、より高らかに騒ぐ。不安感を見て不安に当てられ、「すわ大事だ」という。そんなときだけ元気になる人々で構成されている。
たとえITリテラシーを備えた人であっても、「一応不安といえば不安かも」程度の不安感さえ愛惜する人が少なくない。
さらに不安ベース・リスクベースで見ているから、褒めない長所を見ない。ある企業が何かを達成したら冷淡に批評し、なにかをしでかしたら「すわ大事だ」と色めき立つ。
そんな社会では、企業も人々もそうなる。企業のセキュリティ部門の責任者は、その出入りベンダーの経営者は、どんどん不安を回避する方向にハードルを上げていく。「どうすれば指摘を受けないか」ということが最大優先になる。利便性とか業務効率など、意思決定の周辺にいる人々は誰も気にしない。むしろ意思決定の周辺にいる人々こそリスクを最大優先にすべき圧を受けている。だから馬鹿げた事態、「オフラインの端末で開発すればリスクは減らせるという提案が採用される」し、「セキュリティ対策に工数を割いた結果、便利機能の仕様検討まで手が回らなかった」などということになる。
そんな環境で生育する「IT人材」は、「リスクヘッジに気を遣うのがビジネスのわかるエンジニアの振る舞いだ」と考えている。
こんな人材が有用とされる社会に、「ITになにがなし得るか」という想像力が齎されることはなく、先述の問題点1の誘引となる。
