PASMOのお粗末さと企業の情報システムにおけるリスク管理について

雑記 IT

駅員によるPASMO履歴開示ストーカー問題は情報システムのもろさと管理の大切さをアピールするいい機会だったと思う。被害者の方には申し訳ない話だけど。そもそも高木先生によるPASMOマイページの問題に指摘がある遥か前に、このような事件が起きていて、かつその結果としてシステムなり運用なりが改善されていなかった、ということが企業でITシステム構築にかかわる身としては驚くべき事態です。

とはいえ、僕の主に担当している領域は、銀行という最もリスク管理に厳しい業種のひとつであり、そこで常識とされていることはほかの業界では常識ではなかったりする。2000年代半ば(ここでは2000〜2009年のことを2000年代というね)なんて、銀行のインターネットバンキングサイトは当然httpsだったけど、クレジットカードのサイトはhttpだったもんですがw

さて、システムリスク管理とはどんなものか。一般的にはシステムにおける問題が発生した際の

  • 業務存続リスク(業務運営がシステムに依存しているなど)
  • 自社の損失リスク(取引の機会損失や、損害賠償など)
  • 顧客損失リスク(機会損失や、システムダウンによる不利益など)
  • 情報漏えいリスク

などなど、さまざまなリスクが発生する。システムを運用するということは、そのリスクを併せ持つということでもありますね。もっとも、それはシステムに限った話ではないですが。けれども、システムの弱点は、代替手段が用意できないあるいは代替手段だけではこなしきれないという点。もともと企業システムは業務を効率化するところからスタートしているから、当然効率化された業務というのはシステムが人に換算するとものすごい人数分働いていたりするわけで。

当然ながら、まともな事業者であれば、システムリスクというのは監査対象として、きちんと管理されているものです。

特に個人情報保護法ができてこの方、情報漏えいリスクについては厳しくなっています。たとえば、銀行では個人情報を扱う仕事である以上、情報が行員に見えないと仕方がない。でも、誰がどこでいつ何をしたかということは記録され、不正行為や漏洩行為が行われていないかを定期的に監査する仕組みがあります。それをしているということは行員の行動についての抑止力にもなっています。もちろん、ばれないうちに全部持ち出して海外逃亡、みたいな自爆覚悟の行為については管理に限界はありますが…

さて、今回の事件、株式会社PASMOのシステムがお粗末だったことは言うに及びませんが、東京メトロ側もリスク管理をできていなかったというのが明らかです。
監査情報が公開されていないので想像でしかありませんが、システムリスクは主に鉄道の運行システムにかかわる部分が対象で、こういった他社から提供されたシステムの運用にまでは頭が回っていなかった可能性があります。管理すべき個人情報がそこにある、という認識があったかすら怪しい。
これは、PASMOを使っているほかの鉄道事業者についても同様です。これをリスク管理の問題であると重大に受け止めてないのであれば、また同様の問題は起こるかもしれません。

ビッグデータの活用が叫ばれて久しい昨今ですが、それは個人の情報を如何に紐付けるか(誤解のないように言っておくと、それを匿名のデータとして、(差別につながるものではない、たとえば年齢などの)属性ごとの傾向分析をすることで経営戦略に役立てよう、というのが主旨です)でありますから、こういった、蓄積データが個人に結び付けられる部分についてのセキュリティー管理は非常に重要なわけです。そして、業務の性質上、それにアクセスせざるを得ないのであれば、きちんと監査をすることが企業としての責任です。

朝日新聞の神田記者はtwitterでこう述べています。

既に何人もの方がツイートで指摘されていましたが、この駅員は2ちゃんねるに履歴を書き込んだので問題が発覚しましたが、そんなことをしなければ誰にも彼の行為はわからなかったわけです。東京メトロの端末上に記録が残るわけではありませんから。
他に同様の悪用がなかったのか、いや現時点で悪用がないのかすら、調べようがないんです。こういう不信感を乗客に抱かせたまま営業を続けることは、東京メトロにとって得策ではないと私は思うのですが。

神田記者による「駅員がパスモでストーカー」記事の補足 - Togetter

そのとおりで、こんなのは本来であれば個人情報を取り扱う事業者のシステムリスク管理として当たり前のようにあるはずのものがなかったという大変大きな問題なんですよ。単にPASMOがクソだって話ではありません。PASMOマイページの問題に続いてこのような話が出てきた以上、鉄道各社は個人情報の管理についての取組をきちんと発表しなければならないですね。

利用者側も、自分自身のリスク管理として、どこで何がどのように記録されているかというのは意識しておきたいですね。