Posted on 2010 under 雑多な記事 |
26
1月
サンクリ問題とか、その他あちこちで個人情報問題が炸裂しています。昔からの話ですが、最近の思考をちょっとまとめておきます。
当然「事故で」個人情報が管理外に置かれてしまう事象は起こりうるわけで、そういった「事故」はどんなに対策をしても一定の割合で起きてしまうことは前提にしたほうがいいでしょう。たとえば、極論レベルで言えば「個人情報をタクシーで輸送中、武装強盗に個人情報を盗まれた」とか、「同じく個人情報を車輌で輸送中に車がぺちゃんこになるような事故が起き、個人情報が一部回収できなかった」とか。もしくは、サーバルームに強盗が押し入ったといった可能性もあるでしょう。
でも、そういった事故の可能性を低くするマネジメントは可能です。たとえば、サーバルームには厳重な鍵をかけておけば、マシンガンや爆発物とかで武装したような強盗でない「単なる空き巣」に対しては十分なマネジメントになります。Winnyで漏洩するリスクを減らすには、「Winnyを使うマシンと個人情報を扱うマシンは別にしなければならない」というマネジメントは少なくとも有益です。
#有益だけど「完璧ではない」ということは忘れないように。
で、一方。マネジメントを「ルール」ベースでやっているときに、社内なり組織内のルールを「正義と確信して」意図的に破ることは、これは別の問題で許されません。
たとえ個人情報だろうが何だろうが、ルールを破ることが許されない、という単純な問題です。ルールは「ルールを破るから」だけの理由で許されないのではなくて、それ以上に「あるルールに則った運営を前提として」誰かが動いている可能性があります。ルール違反は、その人たちにダメージを与える行為です。
問題はしっかり分離して、一つ一つ切り出しましょう。
個人情報漏洩問題はそれ自体が問題。なぜかというと、「マネジメントの外に個人情報が流出した」からであって、「個人情報が悪用されるから問題」ではありません。個人情報が悪用されるのは、その後の「被害の拡大」にすぎません。
一方、マネジメントに対する破壊行為はそれ自体が問題で、個人情報保護と関わったのは「単なる偶然、もしくはそういう手法が選択された」だけの話です。
Posted on 2010 under 雑多な記事 |
23
1月
しばしば、「成功」という単語は経済的な成功とイコールで結ばれます。で、同人活動を通じて「経済的成功」を手に入れる人が「ときどきいる」のは事実です。07th expansionが利益あげてないなんて言われても信じられる話じゃないですよね(笑
でも、経済的成功と同一視されるような「成功」が「唯一の定義であり、その他の定義は排除されるもの」なのか?という問いには、否定的な議論も十分あり得ます。そして、同人活動は「利益を上げなければならない/さもなければ排除される」資本主義的な活動の「枠外」にあることは間違いありません:なぜなら、同人の本質は表現活動であり、自由な表現を担保するための仕掛けでもあるからです。
資本主義の枠外において「成功」を定義した典型的な例として、「社会起業」があります。通常の資本主義的な文脈における起業は「資本主義的な成功の度合い」によって成功/失敗の区別と評価がなされますが、「社会起業」は資本主義的な成功の度合いによって評価されるのではなく、社会に対して与えた影響の大きさによって評価されるような営みです。
ここまでを前提(前振り)として、自分自身の「同人活動の成功」の定義を。
それなりに長生きし(少なくとも同人活動が原因で早死にすることなく)、死ぬその日まで自らの意志で自らの主体的な表現活動を継続できれば、それが成功です。
過去「同人活動」自体の歴史が30年とか40年しかない状況下でこの目標を明確に掲げるのは、、意外とハードルが高い話だと思います。
いままだ三十路に突入していない自分にとって「死ぬ」のは(平均余命を考えても)あと40年以上後の話、それだけの期間にわたって「同人活動を続ける」ことは、いまの自分にはきちんと想像できません。60歳なり70歳なりになったときに「コミケ3日間連続参加」が維持できるかと考えると、現状を見る限りどう見ても無茶でしょう。
私は、こんなあたりを「同人活動の成功」として見据えています。
#たとえ「大手になった」としても、それはひとつの段階、ステップ、もしくは手段にすぎない、というわけで。
Posted on 2010 under 雑多な記事 |
13
1月
外部からちょっと撫でただけでは内部が全く見えない「即売会の運営」。特に、小規模オンリー即売会の開催に「何が必要か」なんてこと、普通に同人活動をやっているだけの人には分かりません。私だって、即売会の開催をやってみてはじめて知ったことが山ほどありました。
というわけで、即売会ができるまでを「見える化する」というテーマを考えてます。
これから主催の道に入って行こうという人にとっては、普通に考えたらメリットだらけ。誰もやっていないだけの話です。誰かやりましょうよぉ。
……と単純に考えるのでは面白くないので、「見える化すること」にどんなデメリットがあるかを考えてみました。
即売会を主催し成功させるのに「必要な情報」は、間違いなく存在します。まずここは前提として受け入れます。存在するけれど見える化されていないということは、「何らかのクローズドな領域に」情報が隠されていると考えることができます。
「クローズドな領域」へのアクセスをコントロールすることで、「成功してはならない即売会」を成功させないためのシステムとして機能しているとしたらどうでしょうか?一種のギルド制度とも言えます。もちろん即売会の多様性を一部損なうことにはなりますが、一方で「成功してはならない、成功を支えるだけの力がない」主催者によって「妙なスペックのイベントが開催されてしまうこと」だけは回避できます。
と考えると、「見える化すること」はこの手のコントロールシステムの機能が失われる、即ち「烏合の衆が即売会を開催して、失敗イベントを連打してしまう」可能性を高めることになります。
この手のコントロールシステムだけでは、「(少なくともギルドからの供給の意味では)ゼロノウハウで即売会を成功させてしまう」チーム~しばしば外部からの乱入者だと思われますが~の出現を回避できません。
そりゃ、日本の法律で「即売会を開催するには即売会マイスターの資格が必要である」なんて書いてありませんから、集会結社の自由もありますし、即売会は「誰にでも開催できてしまい」ます。それが成功するかどうかは誰にも分かりませんが!
うん。思考実験やってみて、暗い気持ちになりました(ぉ
性悪説を展開し続けると、行き先はたとえばインターネット免許制とか、表現活動免許制とか、検閲制度とかなんですよねぇ。あのへんの「ろくでもない手口」は「この手のデメリットを回避する」のには本当に役に立ちます。そして、言論・表現の自由は構造的に、致命的に破壊されます。
言論・表現の自由は「事実上不可侵の、最も重要な神聖な自由である」ということを「前提としない」限り簡単なロジックで破壊できてしまうので、だからこそ西側系の権利章典では「最も重要な自由である」と定義し、前提としているのでしょう。フィクションにフィクションを重ねていますが、とりあえずそのフィクションは信じる限り機能しています。
#だから、フィクションをぶっ壊そうとする行為に対しては強く抗議しなければならない。
Posted on 2010 under 雑多な記事 |
12
1月
古くて新しい問題、「セキュリティ」。近頃、GMailやDropboxといったクラウドを前提とするアプリケーションの隆盛に伴って、クラウドの抱えるセキュリティ問題が取り沙汰されるようになりました。曰く、クラウドコンピューティングを社内のインフラで使った時点でISMS認証は諦めざるを得ないとか云々。
セキュリティは2つの側面から考えることができます:「実際に情報漏洩や情報消失、障害による運用不可の危険性があるか」、「外部の第三者から見て、そのシステムに危険性がないことを安心/信頼/信用できるか」。
前者、つまり本来のセキュリティに関して言えば、システム全体の脆弱度は「システム内部で最も弱い部分の脆弱度」に左右されます。
少なくとも「まともなクラウド」であれば、前者は情報漏洩の問題を除けば「下手に社内サーバを立ち上げるより」安全性が高いと考えることもできます。AmazonにせよGoogleにせよこの手の巨大規模クラウドは数万台~といった凄まじい台数のサーバを各地で運用しており、巨大災害リスクに対しても強靱なリスク対策が実現できています。必然的にサーバ障害による情報消失/運用不可の可能性は高いものにはなりません。
#このへんはAmazonよりgoogleのほうが強いのでは、と考えてます。アメリカに隕石が落ちて北米壊滅みたいな事態になっても、googleは南米やヨーロッパ、極東アジアにきっちりデータセンター持ってますし。といっても、そのレベルなら地球人類の存続自体に対して致命的なリスクなのであんまり関係ない?
情報漏洩の可能性について、Amazon/Googleのクラウドを用いることで発生する特段のリスクは何でしょうか。クラウドを用いることで発生する「特段のリスク」は、まともにサーバが管理されていれば当然存在しません。議論としては、社内サーバの管理を「GoogleやAmazonと同レベルで」行えていると胸を張って言い切れる企業がこの世にどれだけあるのか?という疑問を発するのとほぼ同様の構造を持つでしょう。
以上から、クラウドを使うことで発生する「特段のリスク」は技術的には存在しない、と考えることができます。
もちろん人間系のリスクは「クラウドを使っても使わなくても」同様に存在しますし、クラウドを使う場合「データが全部クラウドに保存される」と考えると、セキュリティが破られた場合の損害はクラウドを使わなかった場合に比べて大きくなる傾向がありそうです。
#twitterの企業内部情報が漏洩した事件は、まさに人間系によりクラウドのセキュリティが破られて多大な被害を出した事件と考えることができます。
一方、クラウドを使うことで「第三者に向けて安全性を説得できるか」という問いは、微妙な問題をはらみます。大前提として、データを保有しているはずのクラウドのユーザーですら、「本当にデータが安全に運用されている」ことの証拠を得ることはできません。Amazon/Googleサイドの脆弱度が「十分に低い」ことは推測にすぎません。
#この場合、GoogleやAmazonがISMSを取得していようがPマークを取得していようが「無意味」です。ISMSやPマークの取得は「セキュリティ&ポリシーが管理され、適切に運用されていること」を認証するものにすぎず、「真にセキュアであること」は誰も保証していません。実際には取得していなさそうですし……。
ISMSのプロセスでは「あらゆる情報資産の運用に対してリスクを特定し、評価すること」が求められています。一方、クラウドのリスク特定は困難です。少なくとも「Amazon S3からのデータ漏洩のリスクを明確に第三者に説明できるように客観的かつサイエンティフィックにロジカルに説明する」ことは、Amazonのシステム詳細が公開されていない限り無理でしょう。
セキュリティ問題をクリアした上でクラウドを普及させるには、クラウド基盤が「本当にセキュアであること」を監査する仕組みが必要なのかもしれません。ISMSやPマークの類のように「管理されていること」を監査するレベルではなく、どのくらいの技術リスクがどこにあるのかを明確に洗い出せる仕組み。それが出現することで、はじめてクラウドの利用をISMSにおけるリスク特定の枠組に当てはめていけるようになるのでしょう。
クラウドは「ある種の企業においては」とてつもなく大きな可能性を秘めた道具となります。特に、「本質的にテレワークな組織」ではクラウドの類がなければ仕事になりません。
#あまり例が多いわけではありませんが、私自身もそういう企業の存在を知っています:「実質的なオフィス」がどこにも存在しない企業。
しかし、「クラウドを使わなければ仕事にならない」わけでなければ、クラウドを「使わない」という選択肢も考えざるを得ないのが現状でしょう。特に、ISMSやPマークのように「本質的に第三者をを信じない」社会的な仕組みに組み込んでいくのであればなおのこと。
個人的には、ISMSやPマークの取得が「前提となりつつある社会で」、クラウドという「便利な道具」を利用できない社会的な仕組み、というのはよろしくないように思えます。クラウドを絡めたセキュリティ監査をどう実現していくか、どうやって「クラウドを信頼するか」の枠組ができていくことを望みます。
—-
自分自身の個人的なプロジェクトでは、クラウドを駆使しています。ぶっちゃけ「プロジェクトのための単独の共有サーバ」を確保する余裕なんかどこにもありませんし、クラウド系のWebサービスはとにかく安いので。
クラウドを使うことによるセキュリティの低下は「存在したとしても、人間系によるトラブルと比較して無視できるほど小さい」と考えています。……結果的に、某織姫では人間系によって個人情報マネジメントシステムを破壊されてしまいました。ちゃんちゃん。
Posted on 2010 under 雑多な記事 |
11
1月
twitterで軽く話題になっていたので。
企業対企業としてJALと本格的な取引(モノの売り買いとか)をするリスクは、「法的整理寸前の企業と取引するリスク」として通常考えられているものとおそらく同種です。なので、わざわざ議論するまでのことではありません。
一方、通常の仕事においてJALは「取引相手」としての顔よりも「航空会社」としての顔が一般的です。出張のある仕事なら、JALを使うことも多いのではないでしょうか。法的整理寸前の企業であるJALを仕事で「使う」ことに関わるリスクを考えてみました。
1.事前に予約した便が飛ばないリスク
突然の全社的な運航停止、もしくは燃料の手配が困難になる、等の理由で、事前に予約し手配した(=出張の部品として使う)便が飛ばないリスクがあります。
このリスクに対応するには、たとえばANA等他社便も存在する路線を使うこと、新幹線利用でも間に合うスケジュールを組んでおくことなどが事前の回避策として考えられます。
2.安全性が低下するリスク
安全には当然コストがかかります。そこが削られたとしたら……?当然、安全性は低下します。問題はその安全性の低下が「有意なもの」となるかどうか。そして、本当にJAL再建で「安全性にかかわるコストまで切り込む」アプローチが取られるかどうか。
個人的には、「安全性には手を付けないだろう」と思うんですが……。というか、実際に日本の航空会社の安全性を支えているのはJAL/ANAのお金だけではなくて「日本人のメンタリティ」を含む全体的な仕組みだと思うので、そう簡単に安全性は落ちないに一票。
3.マイル等付帯サービスの消滅
「JALを選んだ」理由としてこれらの付帯サービスを挙げていた場合、判断の正当性が問われるリスクがあります。ただ、「飛行機を移動手段として使うだけ」という根幹に限れば、大した問題ではないでしょう。
……と考えて。
結局私はJALもANAも使い続けます。うちにとっては、マイレージより「より便利な便が飛んでいる」ほうが重要ですからね。
スカイマークだろうがスターフライヤーだろうが、必要な時間帯に必要な便があれば何でも使います。結局「JALを使うリスク」はその程度のものでしょう。