- PR -

「自宅でWinnyは使いません」という誓約書

投稿者投稿内容
NAO
ぬし
会議室デビュー日: 2001/10/24
投稿数: 1256
お住まい・勤務地: 神奈川のはずれから東京の下町
投稿日時: 2007-06-05 13:12
引用:

何がいいたいんですか?
〜後略〜


何か誤解してませんか?
単にこういう実例も有りますよ。

と挙げただけですが。


結局の所、実効性の無い契約など意味無いでしょ?
本当に規制したいならば意味のある制限をかけなさい。
文面上だけの契約など実効性はありません。
と言っているだけです。

本当に規制したいならば

(1)情報の持ち出しを厳密に禁止する
   →USBメモリの持ち込みなども禁止する
(2)個人のPCを持ち込ませるならば厳密に登録管理する。
(3)そのPCに対してきちんとセキュリティがかけられている事を定期的に確認する。

等々多々あります。

厳密にやりたければこんな所を参考にどうぞ。
http://www.netmarks.co.jp/case/pdf/user_report_softbank-bb.pdf


#こんな事言うのも何ですが、一応セキュリティを主に
#やってる人間ですので
#その辺りは悪しからず。
nagise
ぬし
会議室デビュー日: 2006/05/19
投稿数: 1141
投稿日時: 2007-06-05 16:57
スレの流から同意は取れている事項として、

・サインをしないことを理由に解雇というのは法的には不当解雇だろう
・そもそもWinny使いたいってはNGだろう
・会社としては情報漏洩対策は必要だ
・だが、条文は対策というには稚拙な出来だし間違いだらけだよね

このへんは争いがないとして。
私は以下の提言をしました。

引用:

nagiseさんの書き込み (2007-06-05 11:36) より:
「情報漏えい対策はするけども、その方法論は間違っているから修正案を検討しましょう」



それに対してNAO氏のレスは

引用:

NAOさんの書き込み (2007-06-05 11:59) より:
>nagiseさんへ
蛇足ですけど 

引用:

「情報漏えい対策はするけども、その方法論は間違っているから修正案を検討しましょう」
という方向で話をするべきです。



以前常駐で仕事をしていた所で、私が抜けた後1年後に別の会社の社員が
情報漏洩をやらかした結果、抜けた人間まで

「そういった情報は持ち出していません」って誓約書にサインさせられた
経験がありますが。

#所詮そんな物なんです。



とわざわざ私のさきの文を引用して漏洩した事例を挙げていますから
「そんなのは無駄だ」と主張されているように読めます。
私は「方法論が間違っているので修正したら?ということについて、NAO氏は無駄だと主張した」と捉えました。

そしてNAO氏が方法論の修正案を提示されたので、私としては困惑するばかりです。
とりあえず、方法論を修正する必要があるというのは共通認識でよいのでしょうか?
NAO
ぬし
会議室デビュー日: 2001/10/24
投稿数: 1256
お住まい・勤務地: 神奈川のはずれから東京の下町
投稿日時: 2007-06-06 18:03
引用:

・サインをしないことを理由に解雇というのは法的には不当解雇だろう
・そもそもWinny使いたいってはNGだろう
・会社としては情報漏洩対策は必要だ
・だが、条文は対策というには稚拙な出来だし間違いだらけだよね


その認識は合ってます。

引用:

「情報漏えい対策はするけども、その方法論は間違っているから修正案を検討しましょう」


この認識も合ってますよ。

ただ、私のレスでも書いてますが。
結局文章だけだと拘束力が無いって言う事です。

例に挙げた物なんてまさにそうでしょう。
たまたま別の会社が漏洩させたからと言って、

過去に居た人間が全く漏洩させていないなんて保証になるんですか?と言う事です。
(もちろん私は漏洩させていませんけどね。)

巷に良く出てくる情報漏洩事件だって結局の所場当たり対策で
やってるだけだからあれだけ多くの事件が起きる訳です。

物理的に漏洩させたくなければリンク先に挙げた
ソフトバンクBBクラスの事をやれば良いし、

そもそもセキュリティの最大リスクは人です。
内部犯行であれだけ情報が漏れる事を考えれば

ソフトバンクBBの対応は至極真っ当な物でしょう。

一方あそこまでの金はかけられないというのは
正直な所だと思います。

でも誓約書を書く程度では全く意味ありません。
じゃあどうすれば?と言う話になる訳ですが。

また、会社への持ち込み禁止は規制出来ますが、
個人のPCに何を入れてもそれは法律的に禁止しない限り
全く効力は無い訳です。

だから「Winnyを個人で使うな」なんて誓約書は全く意味が無い訳です。
やるならば、漏洩が発覚した場合は


これこれこういう基準で金額を算定し、その賠償請求をする場合がある。


でしょうね。
かつ


最低限ファイルへのアクセス監査をかける
外部媒体への持ち出しを禁止する。


かな。

そうすれば誰がファイルにアクセスしたか解るし。
さらに制限をかける方法は色々と有る訳ですが、
その辺りは費用と応相談になります。


セキュリティなんてのは金をかければかけるだけきつくできますよ

_________________
Inspired Ambitious
ISMS Assistant Auditor
ハニワ祭り
大ベテラン
会議室デビュー日: 2005/11/15
投稿数: 115
投稿日時: 2007-06-06 23:58
完璧な情報漏洩対策とは何かということを考えると
自宅でWINNYを使わないということはまったく無意味なことです。

そもそも自宅に情報を持ち帰ることが最大の情報漏洩リスクです。
さらに言うならば自宅に帰ること自体も情報漏洩リスクです。

結局のところ情報(電子データだけでなく印刷物なども含む)
は電子的にも物理的にも隔離する。これが情報漏洩対策の基本です。

つまり、秘密情報を扱うネットワークと外部のネットワークは物理的に完全に切り離し、
社員を会社に監禁、あるいは出入りの際、情報の持ち出しが無いか
入念なボディーチェックを行うことが必要かと思います。

非現実的と思われるかもしれませんが、
軍事機密の研究を行う研究所では行われていることですし、
日本でも国家試験の問題などは刑務所で印刷がおこなわれていると言われていますから
近い将来民間企業でも……

coasm
大ベテラン
会議室デビュー日: 2001/11/26
投稿数: 237
投稿日時: 2007-06-07 02:23
みなさん、視野が狭くなっていませんか?
「Winnyを使わないという誓約書」=「Winnyを使わせたくない」なのでしょうか?
「Winnyを使わせたくない」=「情報漏洩を防止したい」なのでしょうか?

これは「情報漏洩した場合の損害を軽減するための、安上がりな対策」である可能性もあります。

情報漏洩事故を起こした場合の最大の損害は「会社の評価が下がること」ですよね。
「何の対策も講じないまま、Winnyによる情報漏洩を許してしまった」と
「Winnyの使用を禁止して、誓約書まで書かせていたのに、契約先の社員が制約に反して
Winnyを使用したあげくに情報漏洩を起こしてしまった」のと、
自社の評価におよぶ影響の大きさにおいて、大変な差があるのでしょう。
しかも、そのために要するコストは「意味のある情報漏洩防止策」に比べて遥かに低廉。

この誓約書は、「法的に無効」であり、「情報漏洩を防止する手段として稚拙で無意味」
でしょうが「情報漏洩の結果引き起こされる被害を低減する手段」として有効だと判断
したからこそ強要しているのかもしれませんよ。
ラフィン
ぬし
会議室デビュー日: 2002/05/23
投稿数: 809
お住まい・勤務地: 外野
投稿日時: 2007-06-07 02:33
 何故か今更マジレスです。

引用:

人生修行中さんの書き込み (2007-06-01 21:44) より:

会社側から情報漏えいの対策として「自宅でWinnyは使いません」という誓約書に
サインをするよう求められています。
Winnyが悪いとは思わないのでサインせず誓約書を提出してもよいかと質問したら
規則を守らない会社とは契約を打ち切るとまで言われました。
個人情報を持ち出してかつキンタマに感染した場合に発生する問題だと
説明をしたのですが「Winnyは使ってはならない」と譲らずでした。
「Share」や「山田ウィルス」はどうなるのかと聞いたら
今回はWinnyを使わないという誓約書なのでご自由にして下さいとのことでした。
ほかの会社の人は、誓約書を集めるのが仕事の部署だから
形だけのサインでそれで納得するならいいのではないか、大人の対応しよう。
とのことでした。

情報漏えいの誓約書を書かされる会社は形だけなのでしょうか?
誓約書の内容自体的を得ていないので困ってしまいます。



 「人生修行中」なのでしたら、一度以下の前提で再考してみることをお勧めします。

1.自分では意味がないと思えても、相手にとっては意味がある。
2.相手は自分より賢い。

 まず、関係者とはいえ情報漏洩の境界線が他社の社員のPCであることはありえません。当然相手もそれはわかっています。なのにその誓約書には目的があるはずなんです。

 次に情報漏洩を防ぐためにはどうしたらいいでしょう、と視点をかえてみます。詳細は割愛しますが、結局最後はは守るべき情報に触れる人のセキュリティに対する意識に頼らざるをえないのではないでしょうか?

 では、その意識を確保するには?
 社員なら意識レベルを上げる。意識の低い社員と他社の人は近付けない。

 その誓約書は、集めることが目的ではなく、「規則を守らない会社とは契約を打ち切る」とセットで手段だとしたら...

 誓約書のサインを拒む人がが他社の人間である限り、お引き取り願うのに「不当」と言われないのは難しくないと思います。



 もしあなたの聞きたいことが「相手の担当者って役に立たないよね?」ならその通りかもしれませんが、それをもって直面しているその誓約書まで何ら役に立たないものと考えるのは軽率かもね。
Jitta
ぬし
会議室デビュー日: 2002/07/05
投稿数: 6267
お住まい・勤務地: 兵庫県・海手
投稿日時: 2007-06-08 21:47
さらに今更。

 結局、"Winny" という単語は、具体的な名称を用いて明確に言葉にできないことを代弁しているだけですよ。

 この場合、"Winny" という名詞は、「情報漏洩を引き起こすおそれのあるソフトウェア、あるいは行為」を表す代名詞として使われているのです。
Winny だけをインストールしないのではなく、Share とかその他の、PC 内の情報を外部に無制限に公開する可能性があるものすべてのソフトウェア、およびデータを持ち帰る、自宅の PC に業務データを保存するなどの行為を指している、と解釈すれば(解釈してあげれば)良いんじゃないですか?
(「大人の対応」って、正しくは、こういうことじゃないですか?)

 だいたい、すべてのソフトを調べて「これと、あれと、それと、、、」って並べるわけにもイカンでしょ。
その誓約書以降、新しいソフトが作られたら、それようにまた誓約書を書くんですか?

 Winny だけに限ったとしても、法の遵守を雇用の条件に入れてはいけないのでしょうか?
Winny を使って、何をするのでしょう?
「Winny 使ってる」と言った時点で、「違法なコンテンツの交換をしている」、つまり法を守らないことを明言しているのと同じではないでしょうか。
「法を守りません」と明言している人を解雇する(雇用しない)のは、雇用者として当然と思われます。

 違法なコンテンツを交換すること、これはクロです。
では、「知っている人と事前にメールを交換して、ファイルを特定している。違法性のないコンテンツしかやりとりしていない」としましょう。
しかし、Winny の場合、他者が公開しているコンテンツの中継地点となります。

 この、「中継点」というのが、現在グレーです。クロに近いグレーです。
Winny では、一次公開者を隠すことができます。一次公開者が別の PC で中継点となり、一次公開したファイルを消してしまえば、中継者を装えます。
このことから、一次公開者が中継者を装うことが考えられるため、Winny を使用することもクロにされる方向にある、と考えて良いと思います。

 ということは、家庭のパソコンにインストールされているものであっても、違法なソフトウェアをインストールするな、すなわち「法を遵守せよ」と言っているのと同じで、何ら問題ではないと考えます。


 ごく最近、自分で録音した楽曲を、自分がダウンロードするために一時的にサーバを利用する、というサービスも、クロとされました。
今のところ、Winny をインストールすること自体は違法とされていませんが、この事例を拡大解釈すると、十分にクロになり得ます。
http://www.jasrac.or.jp/release/07/05_3.html
(怖いのは、FTP サーバであっても、FTP サーバの機能を提供している企業にとって「不特定」のユーザが利用できるなら、この判例が有効になります。確定しないで欲しいね :( )
(最高裁の裁判官って、選挙で辞めさせることができるんだよねぇ。地裁の裁判官って、できないのかなぁ?)
(それにさぁ、多くの人が「私的録音」の範囲を間違って解釈してるでしょ。レンタルショップで借りてきたものをコピーするのは違法なんですよ。)
_________________
Johann
ベテラン
会議室デビュー日: 2005/08/31
投稿数: 52
投稿日時: 2007-06-09 02:57
WinnyやShareを使う事がクロなのは殆どの場合において間違いありませんが、
個人の自己責任で使う事を会社が禁止できないでしょ?って話。
会社から支給されたノートパソコンやPCに入れちゃいけないのは当たり前ですけどね。

>違法なソフトウェアをインストールするな、すなわち「法を遵守せよ」と
>言っているのと同じで、何ら問題ではないと考えます。

法を遵守せよ、と言う権利が無い事柄に対して強制するのは大問題です。
一般人がスピードメーター持ってスピード違反の車を取り締まってるようなもの。

[ メッセージ編集済み 編集者: Johann 編集日時 2007-06-09 02:57 ]

スキルアップ/キャリアアップ(JOB@IT)