macroscope

( はてなダイアリーから移動しました)

情報セキュリティと学者の立場

【まだ書きかえます。どこをいつ書きかえたかを必ずしも明示しません。】

- 1 -
研究所の全職員に対して、情報セキュリティに関する「eラーニング」を受講せよという指示があった。わたしは全員が対象であることに気づかずほっておいたら、人事上の上司にあたる人からさいそくされた。上司が職務怠慢扱いされるのは気の毒なので、すぐに受講した。日本語・英語を選べるものはわざと英語のほうを選び、音声があるのだが字幕だけを見た。

職員各人が使っているコンピュータだけでなく、ネットワークでつながった他の人のコンピュータにあるものも含めて、勤務先の組織が公開したくない情報がもれること、プライバシーにかかわる個人情報がもれること、取引口座などの経済活動にかかわる個人情報が悪用されることなどのリスクがあることが指摘されている。どんな行動が危険をもたらすかの指摘ももっともだ。選択肢式のテストがあるのだが、わたしは、だいたい、出題者が想定した正解を答えることができた。(少しだけ、問題文の記述が短すぎて意味をうまくとれなかったので正解に至らなかったものがあった。)

しかし、わたしが実際に、出題者が想定した正解のような行動をとれるかどうかは別問題だ。

「eラーニング」の教材は、おそらく民間会社が従業員教育向けに使うことを想定して作られたもので、役所にも適用可能であることが確かめられているので、公的研究法人でも採用したのだと思う。

そこで奨励されている基本方針は、会社のコンピュータや携帯機器をなるべく会社から持ち出さず、もし持ち出す場合も外のネットワークにつながないことだ。そして、個人のコンピュータや携帯機器を会社のネットワークにつながないことだ。

会社の機器と個人の機器との間で情報をやりとりすることは、多少は想定されている。それにはUSBメモリーなどのハードウェアを介するべきではなく、インターネット上の信頼できる(と会社の情報管理部門が判断した)ファイル交換サイトを通すのがよい、(自分の別アカウントあての)メールで送るのもまずまずよい、とされている。

これは、会社の業務の範囲が明確で、従業員が勤務中に接する必要のある情報はすべて業務上の情報であり、勤務外では業務上の情報を扱ってはいけない、という状況ならば、もっともな方針だと思う。

しかし、勤め人であるよりもむしろ学者(科学者を含む)であると自覚しているような人は、勤務中と勤務外で、関連した情報の探索や情報プロダクト作成を続けてしまうことがある。もし業務上の情報と個人で扱う情報を厳密に区別せよと強制されたら、学者の仕事は進まない。

実際には、わたしは、1つのノートパソコンを持ち歩いて、勤務中も自宅でも使っている。かつては研究所の資産であるパソコン(わたしに割り当てられた研究費で買ったものではあるが)を持ち帰ったこともあったが、最近は、個人持ちのものを研究所に持ちこんでいる。今のところ、それを職場のネットワークにつないだりはずしたりすることが許されているので、不便なく研究ができている。もしそれが禁止されると、わたしの研究能力は地に落ちる。

わたしの勤務先の研究所の、わたしがアクセス可能なネットワークの規制があまりきびしくないのは、おそらく、そこには個人情報や法人経営上の秘密情報はあるにはあるものの、国家安全保障上にせよ産業経済上にせよ、ものすごく重大な秘密情報はない、という判断があるからだと思う。もし、同じ研究所で重大情報を扱うプロジェクトが始まるか、または、監督官庁の判断でルールを重大情報を扱う機関に合わせることが強制されると、わたしに限らず多くの研究者の仕事がとどこおるだろうと思う。

もちろん学者も情報セキュリティが破れるリスクを減らすべきだ。しかし、その対策は単純な勤め人と同じルールを課すだけではすまないと思う。わたしは、こうすればよいという答えをもっていない。とうぶんは、(いまのわたしの勤務先のように)ルールを勤め人型よりは少しゆるくしてもらって、各人個別に気をつけるしかないと思う。よい参考例があれば知りたい。

- 2 -
学者は、研究論文などの定型情報プロダクトのほかにも、いろいろな形の情報を広く世界に発信できる。本人が発信したいこともあるし、まわりの人が発信してもらいたいこともある。

1990年代ごろ、大学では、大学全体・学部・学科・研究室などいろいろな規模で情報発信のためのウェブサーバーを持つことが奨励されていたと思う。しかしその後、インターネットの悪用がふえてきて、情報セキュリティを考慮したサーバー管理は教員などの かたてま では不可能になってしまった。大学でも研究機関でも、ウェブサイトはサーバー管理専任者がいる情報管理部門に置くか、信頼できる外の業者に業務委託するかがふつうになった。

それでも、大学や研究機関が、ウェブサイトの中に区画を作って、そこに職員がコンテンツを置くことを認める制度を持っていれば、学者はそれを利用することができる。わたしの現在の所属機関にも、そういう制度がある。

ただし、学者個人はいつかは退職するが、それでも学問を続けることが多い。所属機関に置いたウェブコンテンツは、退職したあと客員その他の縁(affiliation)もなくなってしまえば、所属機関のルールしだいだが、たぶん、消されるか、修正したくなってもできないまま凍結された形で公開を続けられるか、だろう。

また、ちかごろは監督官庁が組織改変をさせたがるので、大学や研究機関の内部組織はたびたび変わる。法人名さえ変わることもある。そして、役所的な組織は、ウェブサイトのURLも正式な組織名に合わせたがる。なくなってしまった旧組織やそこにいた旧職員の情報は、消されるか、旧情報であるという注釈つきで凍結されて残るか、になりがちだ。公開が継続しているコンテンツについても、URLの時間方向の継続性がそこなわれ、リンク切れがたくさん生じる。

退職しても学問的情報の発信を続けたい学者としては、継続性の点で、所属機関のウェブサイトからの発信よりも、インターネットプロバイダーのサーバーに個人で契約してつくったウェブサイトからの発信をしたくなる。しかし、もちろんこれも、学者個人がいなくなったり、プロバイダーとの契約を更新する能力がなくなったりしたら、消えてしまう。

おおぜいの個人が力をあわせて、情報セキュリティがよくわかった管理者を雇って、ウェブサイトを持てばよいのだと思うが、どのようにしたらその方向に進められるだろうか。