今年一年をわざわざ振りかえる必要もなく、相も変わらずセキュリティ・インシデントがニュースを賑わせている。Winnyへの情報流出事件もまたしかり、だ。

NTT東日本で社員情報がWinnyネットワークに流出した事件（INTERNET Watch　12/19）からは、セキュリティ教育について再度徹底すべき事柄が3つある。

其の一
元社員の個人用PCから業務情報が流出している点。退職社員に対しては情報の廃棄、データの削除を徹底するのが鉄則なのに、それができていない企業はまだまだ多いということだ。

其の二
そもそも機密情報が社外へ持ち出されていた点。個人用PCがウイルスに感染するのは勝手だが、そのPCに会社の情報が保存されているのはルール違反だ。NTT東日本でもデータの持ち出しは禁止していたというが、守られないルールは意味がない。

其の三
大前提として、懲りずにWinnyを使っている、しかも個人情報が保存されているPCで使用しているという点。会社のPCでWinnyを使用するのは論外だが、規則に違反して機密情報を持ち帰るのなら、せめてWinnyを一緒に使うのはよそうよ、と思うのだが、それすらできていないのだ。

今年は情報漏洩事件のオンパレード、「対策が不充分でした」という釈明も何とかまかり通っていたかもしれないが、来年からは通用しない上、そもそも企業としてみっともない。再度対策と教育を徹底したい。