インスタがユーザーのパスワードを暗号化していなかったらしい。

まぁそれは置いといて。こういったことに、

「SNSなんて、いや、その他様々なWebサービスなんて、少なくとも管理者はパスワードいつでも見れる、そんなことも知らないのか」

といったコメントを少なからず見かけた。

そういったかたが、個人情報保護法を無視するようなSIerやシステム運用部門に勤務してそれを常識と思い込んでしまった残念なひとなのかは知るよしもないが、

社会インフラとも呼べるシステムに従事してきた人間として、少なくとも日本では、

「ぜんぜんそんなんじゃない。」

と言っておきたい。

パスワードに限らず、個人情報保護法に従って各社ガイドラインを作り、何を顧客情報とするかを厳格に決め、暗号化する。

当然、複合化処理のパフォーマンスなどより優先される。そして、暗号キーは一部の人間以外知らされない。

また、ゴジラでも想定してんのかよとも思われる、建物を破壊され物理的な持ち出しさえも対策し、DBまるごと暗号化もされたりする。

万が一、複合鍵や管理者アカウントが全て知れた悪意ある内部の人間がいたとしたらどうなるのか？

社員証で入れるエリアが決まっている。さらに、ハイセキュリティーエリアへは、特別な権限が必要で、虹彩認証、指紋認証、掌形認証など、本人でなければ入れない。しかも監視カメラがついており、アクセス履歴も証跡がのこり、誰がいつどのデータにアクセスして何をしたかが追跡可能である。その監査証跡も随時チェックされる。つまり、あっという間にバレる。

スパイ映画のように、カードも盗み、管理者を殺して目玉をくりぬくか気絶させて指紋をコピーしたりして、監視カメラを壊すかなりすました変装でもしない限り、自分の誕生日すらデータベースからは取り出せない。

しかも、システム的、物理的なセキュリティー脆弱性は日々変わるため、定期的なセキュリティー自主点検、第三者専門企業によるセキュリティー診断などに毎年信じられないほどの予算が積まれている。

これが、少なくとも日本の、法令遵守ミッションに掲げたしたICT企業のリテラシーである。

昨今、日本は生産性が低い、なんて言われるが、このあたりのポリシーというか、『守るべきものは利益より優先される』というフィロソフィーをないがしろにしたところなどと比較して、生産性高いだの低いだの言うことが、何の意味を持とうか？

ネットも、社会も、「信用」によってその虚構の場は成立している。みなさんの個人情報の安全をキープするために日々頑張ってる人は確実にいる。だから、「どこもきっと一緒だ」などと思ってはいけないし、知ったかぶりしてネガティブな発言もしてはいけない。

「どこも一緒」と多くの人が思い込めば、期待値は薄くなり、ならばサービス料を安くしろだの、テクノロジーの民主化という都合の良い言葉を並べて無料で使わせろ、となる。

そういった文化が当たり前になれば、どこも、利用者の個人情報を守り抜くなどバカらしい、バレたらまた謝ればいいや、となるだろうし、その投資を従業員の給与にまわしたほうがよっぽど事業成長できると思うだろう。

それがいやなら、「無料サービスだから仕方ないよね～」じゃなく、バッサリと利用停止、使わないという意思表示をサービスプロバイダに示す行動をとらないと、人類の「信用」は、落ちていくばかりなんだがなぁ。