まだ6月だというのに間もなく梅雨明けになりそうというニュースを見て、慌てて庭に除草剤を撒いた。しばらくは晴天が続くのでチャンスだと思ったのである。昨年は、梅雨明けを待って撒いたつもりがすぐに雨が降って無駄になってしまった。何とそれで2回も無駄足を踏み、3回目でようやく目的を果たした。こういった失敗はしばらくは記憶に残る。しかし、大きな失敗や痛みであっても時が経てば忘れられ、さらに大事に至ることもある。

　大学の講義の中で情報セキュリティをテーマにした話を定期的にしている。セキュリティの脅威が年々変化しているので内容も年々変化させている。近年多いテーマは「企業に対する標的型攻撃とランサムウエアの被害、それらを合体した犯罪」や「個人に対する偽警告によるインターネット詐欺」である。さらに、最近の話題として、
・詐欺のシステムやノウハウがSNSで売買
・ランサムウエア攻撃用のマルウエアがダークサイトでサブスクリプション取引
などを取り上げ、学生に情報セキュリティ脅威に対する注意を促してきた。しかし、そのような内容をあざ笑うように、ひっくり返りそうなニュースが飛び込んできた。

　関西の某市において、住民情報が入ったUSBメモリを業務委託先（実際は再々委託先？）の従業員がカバンに入れたまま飲酒し、泥酔した挙句に紛失した、というものである。タイムマシンで十数年前に戻ったと思わせる驚きのニュースだった。

　今を遡ること十数年前、リーマンショックの直前までの情報セキュリティ脅威は、顧客の個人情報の漏洩が圧倒的に多かった。企業の社員がノートパソコンを持ち歩き、データをUSBメモリに入れて移動させるのが当たり前の時代で、紛失や盗難による被害が後を絶たなかった。個人情報の漏洩は企業の評判を著しく落とす。そこで企業は、パソコン内にデータを残さない「シンクライアント」の仕組みを取り入れ、USBメモリにデータをコピーできない仕掛けを作り、社員へのセキュリティ教育を頻繁に行い、「飲み会の際は何も持たずに行く」ことを徹底させた。こうして情報漏洩はかなり減ることになった。

　なぜそれを覚えているかというと、その時期、私は会社のセキュリティ対策と社員教育に携わっていたからである。社外で宿泊研修をしている最中にUSBメモリを紛失した受講生がいて、そこに個人情報が含まれていなかったものの、研修施設内のすべてのゴミ箱のゴミを持ち帰って必死でUSBを探したこともあった。忘年会時期に酔っぱらった男性のイラストの描かれた警告ポスターが社内に貼られ、他社の人が見たら恥ずかしいと思ったこともある。それだけ、当時の企業にとっては死活問題にもつながる大事だったのである。

　もう笑い話にしかならないと思っていた十数年前の事件が今蘇るとは。当時の痛みは忘れられてしまったのか。委託先の企業は十数年前にも存在していたはずなのに。ダークサイトでマルウエアを売買しているハッカーも怖いが、働いている普通の人間も恐ろしいということを改めて認識しなければならない。いずれにしても人間の心理と行動が問題であるのは確かである。情報セキュリティの講義内容はますます膨らんでいく。