前々回のエントリー「事故を引き起こした企業の側の姿勢」に対して、微風さんのブログ「格闘の日々」で、以下のようなご指摘をいただいた。
<もうひとつ、氏はカカクコムの無責任体質を批判しているが、よく考えてみたい。そもそもカカクコムが責任を負えるのだろうか。件の事件で仮にカカクコムが逆に「悪うございました」と謝罪したとしよう。どうも日本では「潔しを良し」とする風潮があり、その後何事も無かったのように終わったりするのでそこで収束してしまうのだが、それは本当に謝罪の上で責任を負うことになるのか疑問だ。>
この指摘は、きわめて重要な問題をはらんでいると思う。
従来、日本では「責任を負う」というのは、社長なり役員なりの責任者が記者会見を開き、頭を下げ、「世間をお騒がせして申し訳ありませんでした」と謝罪することを意味していた。そうやっていったん謝罪してしまえば、確かに微風さんの言うように、「潔しを良し」とする風潮の中で、何ごともなく終わらされてしまうのだ。セキュリティ業界で最近よく言われているサイバーノーガード戦法というのは、このあたりの企業側の姿勢を揶揄したものだろう。責任を取っているように見えて、実はなんら責任を取っていないという企業の不思議な対応である。
私が先のエントリーで「その責任の所在をはっきりとすべきなのである」「(カカクコムは)みずからの責任を否定してきた」と繰り返し書いてしまったために、ひょっとしたら若干の誤解をもたれてしまったのではないかと思う。私は「カカクコムはきちんと謝罪すべきだ」ということを書こうとしていたのではなかった。
微風さんが「それは本当に謝罪の上で責任を負うことになるのか疑問だ」と書いたように、確かに謝罪するだけでは責任を負っているとはいえない。
ではセキュリティ事故の責任を負うというのは、いったいどのような行為を指すのだろうか。それはつまるところ、「情報の開示」以外の何物でもない。情報を開示して、二次被害を防ぐことこそが、セキュリティ事故の責任を持つ企業の行うべきことなのである。この点については、前々回のエントリーでも書いたが、すでに社会的なコンセンサスはできている。そのコンセンサスを無視し、情報を開示しようとしない企業体質に問題がある。
それはもちろん、どの企業だって最高のセキュリティ対策を行うのは難しいから、いい加減なセキュリティ体制の下でセキュリティ事故を引き起こし、そうしたコンセンサスがあることを知らないまま、情報を開示しないというケースだってあるだろう。世の中にはセキュリティに関心のない中小企業は相変わらず少なくないから、そうした企業を批判するだけではセキュリティは進化しない。
しかしだからといって、事故を引き起こしてからもずっと情報を開示せず、挙げ句の果てに情報開示を求める企業に対しては秘密保持契約を要求するカカクコムの対応は、常軌を逸している。ほんの少しの時間を使って、IPAに聞くなりGoogleで調べるなりすれば、セキュリティの世界のコンセンサスがどのような者であるのかはすぐにわかるはずだ。
いったいどうしてそうしたリサーチもまったく行わず、カカクコムは独自の路線へと突っ走ってしまったのだろうか。
それが知りたくて私は先日、カカクコムに取材を申し込んだ。しかし同社広報室からは、以下のような返事が来て、取材を断られてしまった。残念でならない。
<ご取材依頼の件でございますが、容疑者逮捕が報じられ、国際警察が動くなど、まだまだ総括できる段階ではないと私どもは考えております。当方でお話できる事も限られおり、現状でのインタビューは辞退させていただきたいと存じます>
<もうひとつ、氏はカカクコムの無責任体質を批判しているが、よく考えてみたい。そもそもカカクコムが責任を負えるのだろうか。件の事件で仮にカカクコムが逆に「悪うございました」と謝罪したとしよう。どうも日本では「潔しを良し」とする風潮があり、その後何事も無かったのように終わったりするのでそこで収束してしまうのだが、それは本当に謝罪の上で責任を負うことになるのか疑問だ。>
この指摘は、きわめて重要な問題をはらんでいると思う。
従来、日本では「責任を負う」というのは、社長なり役員なりの責任者が記者会見を開き、頭を下げ、「世間をお騒がせして申し訳ありませんでした」と謝罪することを意味していた。そうやっていったん謝罪してしまえば、確かに微風さんの言うように、「潔しを良し」とする風潮の中で、何ごともなく終わらされてしまうのだ。セキュリティ業界で最近よく言われているサイバーノーガード戦法というのは、このあたりの企業側の姿勢を揶揄したものだろう。責任を取っているように見えて、実はなんら責任を取っていないという企業の不思議な対応である。
私が先のエントリーで「その責任の所在をはっきりとすべきなのである」「(カカクコムは)みずからの責任を否定してきた」と繰り返し書いてしまったために、ひょっとしたら若干の誤解をもたれてしまったのではないかと思う。私は「カカクコムはきちんと謝罪すべきだ」ということを書こうとしていたのではなかった。
微風さんが「それは本当に謝罪の上で責任を負うことになるのか疑問だ」と書いたように、確かに謝罪するだけでは責任を負っているとはいえない。
ではセキュリティ事故の責任を負うというのは、いったいどのような行為を指すのだろうか。それはつまるところ、「情報の開示」以外の何物でもない。情報を開示して、二次被害を防ぐことこそが、セキュリティ事故の責任を持つ企業の行うべきことなのである。この点については、前々回のエントリーでも書いたが、すでに社会的なコンセンサスはできている。そのコンセンサスを無視し、情報を開示しようとしない企業体質に問題がある。
それはもちろん、どの企業だって最高のセキュリティ対策を行うのは難しいから、いい加減なセキュリティ体制の下でセキュリティ事故を引き起こし、そうしたコンセンサスがあることを知らないまま、情報を開示しないというケースだってあるだろう。世の中にはセキュリティに関心のない中小企業は相変わらず少なくないから、そうした企業を批判するだけではセキュリティは進化しない。
しかしだからといって、事故を引き起こしてからもずっと情報を開示せず、挙げ句の果てに情報開示を求める企業に対しては秘密保持契約を要求するカカクコムの対応は、常軌を逸している。ほんの少しの時間を使って、IPAに聞くなりGoogleで調べるなりすれば、セキュリティの世界のコンセンサスがどのような者であるのかはすぐにわかるはずだ。
いったいどうしてそうしたリサーチもまったく行わず、カカクコムは独自の路線へと突っ走ってしまったのだろうか。
それが知りたくて私は先日、カカクコムに取材を申し込んだ。しかし同社広報室からは、以下のような返事が来て、取材を断られてしまった。残念でならない。
<ご取材依頼の件でございますが、容疑者逮捕が報じられ、国際警察が動くなど、まだまだ総括できる段階ではないと私どもは考えております。当方でお話できる事も限られおり、現状でのインタビューは辞退させていただきたいと存じます>