PPAPが,ようやく批判の対象として世間に認知されつつあるらしい.PPAPといってもピコ太郎のあれじゃなくて,「(P)パスワード付きZIP暗号化ファイルを送り、(P)パスワードを送る、(A)暗号化 (P)プロトコル」のこと.それに関するたいへん見苦しい言い訳を紹介している記事を見かけたので,ひと言コメントしておきたい.
ところで,代替案を提案しないで批判だけするのはけしからん,というご意見を頂いたので,私から提案する代替案は,「機微情報はしかるべき手段で送り,PPAPは即刻廃止(機微じゃない情報なんてパスワードいらんやろ)」である.
さて,記事で紹介されている「某先進なニッポンのIT企業(従業員2万人規模)」に問合せたPPAPを捨てられない理由の言い訳が,ちょっと見てらんないほど酷い.真面目に考えた結果がこれだとしたら,「先進どころか悲劇的」ですらあろうよ?
さて,全文は記事を読んで頂くとして,1〜4のポイントで回答されているすべてにツッコミを入れる.なお,下記の見出しは私が考えたわけじゃなくて,その回答に記載されていたものなのであしからず.
1. 技術的見解
「若干の時間間隔をあけて開封パスワードを別送する仕組み」だから「別送信されるパスワード通知メールも同時に奪取されることは起こりえず,一定のセキュリティー効果が期待できる」し「受信側が誤って転送した場合の情報漏洩防止や,発信者が誤送信に気づいた場合,パスワード送信前に訂正・取消できるなど,副次的な効果も存在」するんだって!
この言い訳が通用するほどの時間差(何分?人間が訂正できるっていうくらいだから,まさか数秒じゃないよね?)でパスワード送ってくる運用してるところって,見たことないんだけど.だいたい,セットでメールを送ってこない?できるならやってから言い訳しなさいよ.これは言い訳としてもあまりにも酷い.
2. 国内諸資格関連制度への対応
「個人情報関連資格を中心に,メール添付ファイルへのパスワード運用が要件となる場合がある」そうな.
そういう資格自体がアホなんじゃないの?「この資格要件はアホですよ」と適切に主張しているのを寡聞にして聞いたことがない.私の勉強不足なんでしょうか.そんなんだとアホな資格を崇めたてるアホな企業というレッテル貼られちゃわない?
3. 企業としてのスタンス
「本施策をやめることは,効果の有無とは無関係に企業イメージ棄損につながることが予想される」っていう言い訳も同じだよね.アホな施策を続けているという悪いレピュテーション集めちゃうよ?
4.その他
これすごく重要な言い訳なので,全文を引用する(句読点だけ変えた).
極秘情報・関係者外秘情報は,リスクを伴うメール送信は基本的に利用せず,専用のファイル・サーバーやオンライン・ストレージサービスの利用を推奨しており,メールへの添付は代替手段である.その為,特に顧客等から依頼・要求が出た場合には,上記への切替を,システム部門としても推奨・支援する次第である.
だから機微情報はそういう対応すればいいんであって,ちゃんと分かってるんならそれを徹底すればいいじゃん.ほんでメール添付はPPAPやめていいっていう理屈にならない?「『飲み会のお知らせ』をパスワード付きで送ってくんなよ,面倒くさいなあ」っていう結論に至る.
0 件のコメント:
コメントを投稿