サンクリ問題とか、その他あちこちで個人情報問題が炸裂しています。昔からの話ですが、最近の思考をちょっとまとめておきます。
当然「事故で」個人情報が管理外に置かれてしまう事象は起こりうるわけで、そういった「事故」はどんなに対策をしても一定の割合で起きてしまうことは前提にしたほうがいいでしょう。たとえば、極論レベルで言えば「個人情報をタクシーで輸送中、武装強盗に個人情報を盗まれた」とか、「同じく個人情報を車輌で輸送中に車がぺちゃんこになるような事故が起き、個人情報が一部回収できなかった」とか。もしくは、サーバルームに強盗が押し入ったといった可能性もあるでしょう。
でも、そういった事故の可能性を低くするマネジメントは可能です。たとえば、サーバルームには厳重な鍵をかけておけば、マシンガンや爆発物とかで武装したような強盗でない「単なる空き巣」に対しては十分なマネジメントになります。Winnyで漏洩するリスクを減らすには、「Winnyを使うマシンと個人情報を扱うマシンは別にしなければならない」というマネジメントは少なくとも有益です。
#有益だけど「完璧ではない」ということは忘れないように。
で、一方。マネジメントを「ルール」ベースでやっているときに、社内なり組織内のルールを「正義と確信して」意図的に破ることは、これは別の問題で許されません。
たとえ個人情報だろうが何だろうが、ルールを破ることが許されない、という単純な問題です。ルールは「ルールを破るから」だけの理由で許されないのではなくて、それ以上に「あるルールに則った運営を前提として」誰かが動いている可能性があります。ルール違反は、その人たちにダメージを与える行為です。
問題はしっかり分離して、一つ一つ切り出しましょう。
個人情報漏洩問題はそれ自体が問題。なぜかというと、「マネジメントの外に個人情報が流出した」からであって、「個人情報が悪用されるから問題」ではありません。個人情報が悪用されるのは、その後の「被害の拡大」にすぎません。
一方、マネジメントに対する破壊行為はそれ自体が問題で、個人情報保護と関わったのは「単なる偶然、もしくはそういう手法が選択された」だけの話です。