Windows Vistaのセキュリティ機能でも触れたが、Vistaでは新しい暗号化機能が搭載される。その詳細が明らかになった（COMPUTERWORLD.jp　5/26）。

Vistaに搭載される暗号化技術は、「BitLocker」と呼ばれ、1024ビットの暗号を使ってハードディスクのすべてのデータを暗号化できるという。これは、暗号化のためのキーはマザーボード上のマイクロチップ「Trusted Platform Module」に保存されることで実現される。

ただし、ハードウェアの故障やキー紛失の際、復旧が迅速かつ安全にできるのか、というのが（他の暗号化技術も含めて）問題になっているという指摘もあるようだ。これは、厳重に管理されたサーバールームにいざ何らかのトラブルが発生した時、入るのに苦労したことがあるような管理者なら想像しやすいだろう。

しかし、同報道でマイクロソフトの担当者が述べているように、無料で手軽にこれだけの機能が使えるというのは魅力だ。心配なら使わなければ良いだけの話である。

心配されるようなトラブルに備えるには、異なる方法を使って多重管理しておくのが有効だろう。ノートPCはハードディスクを暗号化、そのバックアップを厳重に管理されたサーバーに保存しておけば、それらが同時にトラブルに見まわれることは考えにくい。管理は2倍に増えるが、リスク分散にコストはつきものである。

Windowsはもとより、Macについてもセキュリティについての議論は活発になってきている中、Linuxのセキュリティ対策はどうなっているのだろう…と思っていたら、トレンドマイクロからアンケート結果が発表された（5/26）。

それによると、ウイルス対策を施しているのはWindowsサーバーの88.4％に対し、Linuxサーバーはなんと68.5％にとどまっている。

Linux向けのウイルス対策ソフトが出ているということは、Linuxをターゲットとしたウイルスもあるというわけで、PCメンテナンスには手を抜かないであろうLinux管理者には、ウイルス対策にも手を抜かないでもらいたいものである。

「My old friend, How are you?」という件名で、日経新聞社からの発信を装った偽メールが報道機関や官公庁などに送りつけられているという（INTERNET Watch　5/25）。

このメールにはウイルスが添付されており、ウイルスを誤って実行するとバックドアやルートキット、キーロガー、リモートコンピュータへのアクセス機能を持つファイルなどを作成するという。

このメールは広く出回っているものではなく、同業者や官公庁などに送られていることから、これらの機関をターゲットとしたものなのだろうか。このような特徴からプロファイリングを行い、犯人像を絞り込む捜査手法が、現在主流と思われる「犯人の痕跡」から犯人を追跡する方法と組み合わせて実施されるようになっていけば、犯人の検挙率も上がるかもしれない…。

セキュア・ジャパン2006でも言及されていた「高セキュリティ機能を実現する次世代OS環境の開発」について、内閣官房情報セキュリティセンターよりその採択が発表された（5/23）。

そのポイントを一部抜粋して紹介しよう。
・WindowsやLinuxなどの現在の利用者環境はゲストOSとして稼働させ、情報セキュリティ機能は現在のOSから独立したVM（Virtual Machine）として稼働させる（セキュアVM）。
・情報セキュリティ管理機能の基本的な部分はセキュアVM側で多くを実現
・統一IDを利用した起動管理や暗号化、VPN通信などをセキュアVMで実現
・IPv6などの導入基盤環境としてもセキュアVMを活用

また、この次世代OSの開発を担う官民の全貌も明らかになった。
・全体の取りまとめを筑波大学
・システム開発（学術研究組織）は電通大、東工大、慶大、奈良先端科学技術大学院大、豊田高専
・システム開発（民間）は富士通、NEC、日立製作所、NTT、NTTデータ、ソフトイーサ

これらの顔ぶれだけでも壮大なプロジェクトであることが分かるが、果たしてどんなものができるのか、非常に楽しみである。

Microsoft Wordに新たな脆弱性が発見され、既にこの脆弱性を利用して日本の政府機関のPCに攻撃・侵入を試みる事例が発生したという（CNET　5/22）。この攻撃では、電子メールで送られてくるWordファイルの体裁をとった添付ファイルを開くと、バックドアソフトが仕掛けられるなどするらしい。このメールはスパムフィルターを潜り抜け、シマンテックのウイルス対策ソフトでも検知できないが、バックドアとそのインストールは検知できるとしている。

Microsoftはセキュリティアップデートを準備中。現状は怪しいWordファイルを開かないことしか対策方法はないようだが、このようなゼロデイ攻撃は防ぎようがなく、セキュリティ対策をどんなに実行しても弱点になりうるポイントであることは理解しておく必要がある。

リアルに展開されているサイバー戦争の話（CNET　5/18）。

米Blue Securityは、迷惑メールへの反対活動で有名な企業らしいが、同社の50万にも上る顧客に対して、受信したスパムに返信するキャンペーンを呼びかけていたという。スパム事業者に対する「制裁」により、スパムを送ることが出来ないように負荷をかけることを目的としたもので、実際この運動により、スパム事業者数社に対して、Blue Securityの顧客にスパムを送らない同意を取りつけることに成功したという。

しかし、一部のスパム事業者は降伏せずに「報復」を開始。DoS攻撃を受けてBlue Securityはあっさり降伏、あらゆるスパム活動を停止したという。

こうした攻防が繰り返されているとは驚きだが、DoS攻撃を仕掛けたのはロシアの事業者と見られているらしく、世界中の事業者を敵に回せばかなうはずもない。とはいえ、ハッカー同士でもDoS攻撃などでライバルの足を引っ張る活動は行われているというし、リアルな世界と同様、彼らは彼らなりにしのぎを削っているわけである。もはやボランティアレベルでは対抗できる次元にはないということなのだろう。

ぷららネットワークスが3月16日に決定していたWinny通信の完全規制について、総務省は違法性が高いとの判断を下したという（IT Pro　5/18）。

相次ぐWinny経由の情報流出に対して、ISP網上の通信機器で、Winnyの通信を遮断するサービスについて、ぷららが総務省に法律判断を迫っていたとのことで、それに対して総務省が「通信の秘密を侵す」「正当な業務としても認められない」と判断したもの。これは、Winny通信を検出する際、パケットのパターンから判断するため、これが通信の秘密を侵害する恐れがあるためだという判断である。

ぷららはこの総務省判断に従うとしつつも、合法的にWinny問題への対処法を考えていくとしている。

今回は「通信の秘密」での「待った」となったわけだが、Winnyの利用が「合法的」な以上、その通信を規制すること自体が無理があるのではないか。確かにISP事業者レベルで規制すれば、その影響力は絶大だが、根本的な解決にはならない。ましてやShareの問題も大きくなってきている今、Winnyだけを規制しても意味がないことは明白である。

Shareが原因の情報漏洩が増えてきたことで、Winnyに続きShare対策を謳うサービスも増えてきているようだ。

例えば、NTTコミュニケーションズの企業向けPCセキュリティ管理サービス「OCN PCパトロール」で提供されていたWinny検出機能が強化され、Share検出機能にも22日から対応するという（5/18）。リリースでは、ISP業界初の機能だという。今後、他のISPも後に続くことが予想される。

15日に都内で行われた講演にて、ネットエージェント社の杉浦氏の興味深い公演内容が公開されている（INTERNET Watch　5/15）。興味深い内容なので、一部を引用してみたい。

・事故に対処するには、広報責任者、技術責任者、情報回収担当者からなる対策チームの設置が必要。
・流出したファイルを消してしまったり、Winnyを使った調査でさらに被害を拡大するなど、素人の対処は傷口を広げる可能性がある
・漏洩した場合、漏洩対象となったユーザーには個別に対応し、メディアには原因や件数を正確に把握して公開、ファイル名を特定されるような情報は伝えない。
・再発防止策としては、過去に社外に持ち出されている情報の一斉点検と新たな持ち出し制限

といった具合で、今まで間違った対応をしていた企業も多そうだ。

また、未だにセキュリティ認知が低い事例も報道されている。
中部電力では、Winnyを削除した後、代わりにShareを使用して情報が流出したというお粗末な事故も起こっている（INTERNET Watch　5/15）。

NTTドコモが採用するとされている携帯セキュリティ技術に、「SPC（secure private cosm）」という聞きなれない技術がある（ITPro　5/15）。これは、携帯電話と「鍵」とが無線交信し、電波が届いている間だけ動作するというものだ。「鍵」はユーザーが常に身に付けておき、ユーザーが携帯電話から数メートル離れ、電波が届かなくなったら携帯電話が自動的にロックする仕組みらしい。

これは既に実用化のメドもたっているとの事で、無線には伝達距離が約10mのBluetoothが先行しているが、これはやや距離が長いという。

暗証番号や指紋認証などの「解除」の手間のいらないセキュリティ技術として注目されているだけあって、新しいセキュリティ技術であることは間違いないが、「鍵」をなくしたら、バッテリー残量がなくなったら、などの分かりやすい懸念点に対する対策がなされているかが気になる。

“sniff”がくんくん嗅ぐことを意味する単語だが、それが転じてネットワークのパケットを盗聴することをスニッフィング（sniffing）というようになったようだ。

本来はネットワークのトラフィックを監視し、ネットワーク管理者が利用するものだったが、今ではこれを悪用してパスワードやEメールの内容などを盗み見る「クラッキング手法」の一つとして悪名高い。

ネットワーク機器であるハブは、現在ではスイッチングハブが普及しているが、昔ながらのリピータハブでは、LAN上の全端末にパケットが送られてしまうという特徴を持つ。スニッファ・ソフトを使ってネットワークインタフェースをプロミスキャスモードに設定すると、本来なら自分宛ではないパケットを破棄するところを、すべてのパケットを受信できてしまう。これが最も基本的なスニッフィングの手口とされる。無線LANでは今でも同様の手法で簡単に盗聴ができると言われている。

その他にも、ARPプロトコルを悪用するARPスプーフィングや、パッシブタップというネットワークを流れるデータを分岐する機器を使って盗聴する方法も知られており、「安全な通信」を本当に考えるのであれば、暗号化が欠かせないということである。

セキュア・ジャパン2006(案) では、全国の小・中・高校生を対象に情報セキュリティ対策標語を募集するとの記載があったが、まさにその一貫と思われる「情報セキュリティ標語2006」の審査委員会がIPAによって開催され、入選作品が発表された（5/12）。

セキュリティ教育の一端でもあるのだろうが、単なるスローガンと侮るなかれ、セキュリティの本質を突いた鋭い標語もある。

大賞の「ネットで繋がる無限の世界　明暗決めるはあなたの手」は高校生の作品だが、WinnyやShareで流出事故を起こした人にとっては耳の痛い標語。同じく中学生の作品「情報は　流れだしたら　止まらない」も痛烈だ。

「ケータイは持って天国　落として地獄」も巧い。現在の法律では落とした携帯の持ち主が現れなければ、拾った人のものになってしまう。そこで遺失物法の改正論議が進められているところでもある。

小学生の作品「パスワード　ともだちにだって　ないしょだよ」はかわいらしい標語だが、決して馬鹿にはできない。いまだにパスワードを付箋に書いてパソコンなどに貼りつけている人はいる。直接誰かに教えていなくとも、同じ事である。

街中などで見かける標語の類はどことなく胡散臭さを感じるものだが、学生・児童のうちからセキュリティのリテラシーを身につけていくことは非常に重要だと思う。その一つとしてこうした広報戦略はそれなりに意義のあることだろう。

またしても「Share」が事件の舞台となった。

陸上自衛隊の地対艦誘導ミサイル（SSM-1)の内部教育用資料がShareを通じて流出したという（毎日新聞　5/12）。ミサイルの内部構造図、射撃準備の所要時間、SSM配備部隊の所在地、電子戦器材の性能一覧など、極めて機密性の高い情報が流出したと見られている。

流出元だが、死亡した隊員の自宅PCを遺族が使用し、しかもShareを使用してしまったため、事故が起こってしまった模様。

防衛庁は情報流出の再発防止策を公開していたが、それでも再発してしまった原因としては、次のような点が考えられるのではないか。
・Winnyに対しての対策は実施したが、「Share」に対する認識は不足していた。
・「元隊員の遺族」という現役自衛官以外の情報保持者（情報を保持している可能性のある者も含めて）にまでは再発防止策の周知徹底がなされていなかった。

Winnyで連鎖的に流出が発覚したように、これは一般企業にとっても人事ではない。早急な対策が必要である。

パソコン廃棄時におけるハードディスク内のデータ破棄に気を使う時代になったが、気をつけていても穴はあるものだ。その一つが「パソコンを修理に出して交換になったハードディスク」にあるかもしれない。

そんな中デル社では、不良等の交換が必要になったハードディスクに対して、故障ハードディスクも受け取ることのできる「HDD返却不要サービス」を開始し（5/10）、そのハードディスクを使用不可能にする「HDD磁気破壊サービス」を今月下旬に開始する予定だ。対象となるのはクライアントPCだけでなく、サーバやストレージも含まれ、別途料金がかかる。

ただし、従来どおり故障ディスクをデルに返却しても、保障期間内であればデータの完全消去、保障期間を過ぎたものは物理粉砕されるため、決して安全性には問題がないはず。ただ、社内のポリシーでハードディスクの処理方法について規定するケースも増えてきているため、このようなサービスも登場してきているのだろう。

マイクロソフトサイトでの会員登録などで、少し前から見かけた「パスワードの強度チェック」機能がこのほど、「パスワード チェッカー」として一般公開された。以前からパスワードの桁数チェックは良く見かけたが、最近はそれ以外の「パスワードの強度」チェックが作動しているサイトもちらほら見かける。パスワードの管理が今まで以上に厳しく求められてきているのが時代の流れの中で生まれたツールと言える。

以前から言われていることではあるが、公開サイトで定義されている「強力なパスワード」とは、14文字以上（最低8文字以上）の長さ、大文字、小文字、数字、記号を組み合わせたもの、とかなりハードルが高い。実際に同ツールを試してみると、どんなに長いパスワードでも小文字のみでは強度「弱」と判定され、大文字や数字、記号などを混ぜていくと徐々に強度が上がる様子が分かる。また、これらを全て組み合わせても8文字以下ではやはり「弱」となるようだ。

ぱっと思いつくパスワードはたいてい「不合格」になると思われるので、試してみると良いだろう。

Windows Vistaのセキュリティ機能でも紹介したように、Vistaのセキュリティ機能はなかなかのものになると予想されている。アナリストのレポートによると、それによってスパイウェア対策ソフトやファイアウォールソフトを動かす必要はほとんどなくなるという（CNET　5/8）。

これは、一般ユーザーにとっては朗報だが、セキュリティ製品市場にとっては大打撃でもある。Yankee Groupの予測によると、36億ドル規模の影響があるという。

しかし、影響を受けないのがウイルス対策ソフト市場（現状26億ドル規模）で、Vistaにはウイルス対策機能は盛り込まれず、マイクロソフトは「Windows Live OneCare」というウイルス対策ソフトを別途販売予定だというから、その辺は抜け目がない。とはいえまともな価格設定では勝負にならないだろうから、思い切った戦略が予想されるので、影響は少なからずあるのではないか。

販売が大幅に延期されている中、Vista周りが徐々に過熱していく気配だ。

トレンドマイクロ社の調査によると、ウイルス対策ソフトや総合セキュリティソフトの利用率が想像以上に低いことが判明した（5/8）。約3人に1人の割合の30％しか導入していないという。

この低さは驚きで、ハッカーにしてみればまだまだ食い込む隙があるということである。
逆にセキュリティベンダにとっては、潜在顧客のパイがまだ残されていることを示す。

それぞれの立場で、それぞれの思いを馳せる結果である。

毎日新聞関係会社の情報流出事件を始め、暴露ウイルスの危険性が指摘され出したファイル交換ソフト「Share」だが、既に延べ1000件以上の個人情報流出などの被害が出ているという（毎日新聞　5/7）。

機能はWinnyとほぼ同様だが、逮捕騒動となっているWinnyとは異なり、開発者は特定されていないとのことだ。それはともかく、ネットエージェント社の調べでは利用者は10万人（今年初め）でその後も増加傾向にあるというから、同じく同社発表によるWinnyの利用者数約50万人に並ぶのもそれほど先の話ではないかもしれない。

また、日本国際映画著作権協会の話として、不法にネット上で公開された映画65作品のうち61作品もがWinnyよりも先にShareに公開されたとしており、映画の違法利用者はShareに移行しつつあると推測している。

WinnyやShareを「情報収集のため」正当に利用していると主張する人もいるようだが、本来情報を収集するためのツールではないのでは？

Share利用者は十分注意が必要であるとともに、企業向けに「Share検知ツール」も出回り始める事だろう。そして、個別のツールだけに対処しても意味がないことにもそろそろ気付くはずだ。

情報セキュリティ政策会議は、セキュア・ジャパン2006（案）を決定し、政府が情報セキュリティ問題に取り組む上での基本方針をまとめている。2006年度の重点は「官民における情報セキュリティ対策の体制の構築」とのことで、現在はパブリックコメントを募集している段階だ。

セキュア･ジャパンなどという名前が付いているように、これは約50ページにも及ぶ膨大な量の資料となっている。そこで、その中から注目ポイントをランダムに列挙してみたい。

・高セキュリティ機能を実現する次世代OS環境の開発（内閣官房、内閣府、総務省、経済産業省）
・電子政府システムのIPｖ6対応化（内閣官房、総務省、全府省庁）
・地方公共団体に、情報セキュリティレベル評価ツールを提供（総務省）
・情報システム等の政府調達における入札条件等に求める情報セキュリティ対策レベルについて検討（内閣官房、総務省、財務省、全府省庁）
・日本工業規格JISQ27001（=ISO/IEC27001）、JISQ27002（=IOS/IEC17799）の制定（経済産業省）
・法人又は個人事業者が情報セキュリティ対策装置を取得した場合の税制支援措置を実施（総務省）
・企業の高度な情報セキュリティが確保された情報システム投資に対する税制優遇措置を実施（経済産業省、総務省）
・小中学校における情報セキュリティ教育の推進（文部科学省）
・全国の小・中・高校生を対象に情報セキュリティ対策標語募集・入選作品の公表（経済産業省）
・保護者及び教職員を対象としたネット安全利用講座「e-ネットキャラバン」を全国規模で実施（総務省、文部科学省）
・「情報セキュリティの日」を創設し、個人、企業、地方公共団体、教育機関、研究機関等の表彰制度創設を検討（内閣官房、警察庁、総務省、文部科学省、経済産業省）
・メールマガジンの発行及び情報セキュリティポータルサイトの開設（内閣官房）
・情報セキュリティの確保に貢献した個人、企業等を表彰する情報セキュリティ貢献表彰（仮称）の創設（総務省、経済産業省）
・内閣官房情報セキュリティセンターの英文ホームページを開設し、基本戦略の国内外への配信（内閣官房）
・2009年度までに経路ハイジャックの数分以内での検知・回復、また予防可能とする技術確立のための研究開発（総務省）
・デジタルフォレンジック分野の確立に向けた産官学の連携強化（警察庁）
・情報セキュリティ基準ISO/IEC15408で規定される評価レベルEAL6の保証要件を満足する情報システムの試作と評価手法の確立（防衛庁）
・ネットワークがオールIP化された場合でも災害時等に重要通信が確保できる運用技術確立のための実験システムの開発（総務省）
・情報セキュリティ技術者、CISOらにとってキャリアパスとなるための情報処理技術者試験をはじめとする資格制度の体系化等のための検討
・電気通信事業における情報セキュリティマネジメントガイドライン（ISM-TG）の国際規格化のため、国際電機通信連合（ITU）への提案（総務省）
・サイバー犯罪取締りのための捜査・解析用資機材の整備・増強（警察庁）
・サイバー犯罪条約を締結するための法整備等を推進（法務省）
（2005年10月に国会に提出された「犯罪の国際化及び組織化並びに情報処理の高度化に対処するための刑法等の一部を改正する法律案」は現在継続審議中）
・捜査･司法当局を外交ルートを経由しない中央当局として指定。また、日米・日韓で発効見込みの捜査共助条約と同種の二国間条約の締結（法務省）
・2007年度には、「情報セキュリティ対策白書（仮称）の作成・発行（内閣官房）

2006年度に実施する項目を中心に列挙してみたが、膨大な量である。パブリックコメントを受けて最終的に確定するとはいえ、関係省庁も多岐に渡り、非常に楽しみな施策も多いと感じるし、これを読む限りでは「国の本気度」もそこそこ感じられる内容になっているのではないか。今後も継続して検証していきたい。

IPAは、「情報セキュリティに関する新たな脅威に対する意識調査」を実施し、その結果を公表した（4/26）。

それによると、セキュリティの脅威の中でも難易度の高い「ボット」「ファームウェア」は9割近くの人が言葉を聞いたことがないと答えており、妥当な結果とは言え、想像以上に認知すらされていないということが分かる。一方、三大脅威とも言える「スパムメール」「スパイウェア」「フィッシング」は、言葉を聞いたことがない人こそ約17～25％にとどまっているが、言葉を聞いたことはあっても事象を知らない人は約23～33％もいるという結果になっている。

これだけ騒がれているから言葉だけは知っていても、意味まではきちんと理解していない、否、誰も教えてくれない、という状況が垣間見えるような気がする。職場外のパソコンで仕事をする際のセキュリティガイドラインでも述べたように、「セキュリティ教育」が伴ってこそ、技術的な対策も意味を持つというもの。まだまだ啓蒙活動が有効で、セキュリティ担当者はよりいっそう力を入れていかなければならないと強く感じさせる結果である。

最近の情報漏洩事件の大多数が自宅PC・私物PCということ、そして悪いことにそれらのPCにはままWinnyがインストールされている、ということもあってか、総務省は「職場外のパソコンで仕事をする際のセキュリティガイドライン」を公開した（4/28）。

中身を読んでみるとそれほどありがたいことが書かれている訳ではない（失礼！）が、改めて危機管理を徹底するためのきっかけにはなるので、概要を紹介してみたい。

ポイントは「ルール」「人」「技術」の三位一体の対策が必要であるということ。だいぶ浸透してきている考え方ではあるが、意外と実態を伴っていないところも多いのでは？

「ルール」とは、定期的な監査を実施するとか、アカウントの管理方法を定めるなどの決まりごとのことで、「人」は教育や罰則規定などの人的管理、「技術」はウイルス対策やパッチ、暗号化、ファイアウォールなどの対策を指す。

これら3つの要素がバランス良く盛り込まれているのはもちろんのこと、人ごとのバランス、つまり、従業員ごとのセキュリティ意識やリテラシーにもばらつきがないことが重要である。組織の中で一番低いセキュリティレベルがすなわちその組織のセキュリティレベルを決定することを忘れてはならない。

ワームがボットの「媒介者」としての役割を果たす時代になったのか。Websense Security Labsによると、このほどTCPポートの8番にバックドアを仕掛け、ボットをインストールする新しいワーム「Nugache」が発見されたという（5/2）。このボットは感染したマシンのP2Pネットワークに接続しており、ボットへの指令のブロックをより難しくしている。

最新のトレンドが詰まったワームというわけだが、既にメッセンジャーやメールを介し、PCの脆弱性を突いて広がっているようだ。かつてはそれぞれバラバラで活動していたネット上のさまざまな脅威が、連携し複合化して活動する形がトレンドとなりつつある。

セキュリティ意識が高まれば、それを逆手に取る犯罪者も現れる――まさにいたちごっこである。

1つ目はウェブルート・ソフトウェア社の情報として、スパイウェア対策ソフトを語るアドウェア（WinAntiSpyware）出現の報道（ITPro　5/1）。スパイウェアに感染していないのに感染の警告を出し、駆除のために有償版対策ソフトを購入させるプログラムだという。ミイラ取りがミイラに…な話なのか？

2つ目はウイルス対策ソフトの押し売り注意！の話（ITPro　5/1）。勝手にダウンロードされたプログラムがウイルス感染の警告を出し、対策ソフトの購入を押し売りする行為が4月に入って急増しているとして、IPAが警告している。ここで「ん？」と思った方もいるかもしれないが、IPAの警告する押し売りソフトが実は「WinAntiSpyware」なのではないかという見方もあり、この2つのニュースは実は同一の事実という可能性もある。

いずれにせよ、どちらも利用者の不安につけこんだ悪質な詐欺の一種で、またしても注意すべき事柄が増えたということだ。

Winny絡みの情報流出事件については幾度となく紹介してきたが、その際、当事者である企業のプレスリリース等での「公式発表」で裏を取るようにしている。ところが、たいてい情報公開されている民間企業に対して、自治体や学校、病院などは裏を取ろうにも情報が公開されていないケースがほとんどで、報道機関の「2次情報」に頼らなければならないことが圧倒的に多い。これはつまり、記者クラブに所属していないジャーナリストには情報の入手すら極めて難しいことを暗に意味しているのではないか。

それを裏付けるような報道があった。昨年4月以降、情報流出事件発生後に流出の事実をWebで公開しているのは、民間では8割あるのに対し、公的機関（官公庁や警察など）は2割にしかならないという（計106件、毎日新聞　5/1）。その理由として「流出拡大を防ぐ」「Webで事件を公表するのは趣旨が違う」「報道で十分」などを根拠にしているようだが、どれも納得のいく説明とは思えない。情報流出に対して「お詫び」だけで済ませている民間企業もどうかと思うが、それすらしていないというのはいったいどういうことなのか。

さらに警察庁では、警察官による個人情報紛失に関する情報公開請求に対し、警察官の実名などが記載された新聞記事を「黒塗り」で開示していたという事実も明らかに（毎日新聞　5/1）。「個人情報だから」という理由も不適切だが、新聞社名、掲載日なども黒塗りにしているというのは明らかに不可解。一度「報道された事実」にもかかわらず、だ。

こうした事柄について目を光らせていくのがマスコミの役割。WinnyやShareに「情報開示」のスクープを抜かれている場合ではない。