ICHIRO BLOG引っ越しました

引っ越しの理由
無縫地帯

Googleと機密情報漏洩の話

2014.05.01

Googleが機密情報をダダ漏れさせた件をメールでお詫びしたら被害者から礼儀がなってないと呆れられたそうです。何か方法ないものですかね…

山本一郎です。咳も止まりつつあり徐々に現役復帰しようかという流れになっております。お騒がせしまして申し訳ございませんでした。ここを読んでおられる方の9割9分は無関係かもしれませんが。

ところで、Google日本法人が空港や駅施設等の機密情報をダダ漏れさせてお騒がせするという事故が立て続けに発覚しました。

空港の詳細図、グーグルから流出メール「一般公開」に(朝日新聞 2014/4/11)
グーグル、空港詳細図を誤って一般公開新千歳など国交省調査へ(サンケイビズ 2014/4/11)
空港詳細図:「秘密保持契約」結び提供中部国際(毎日新聞 2014/4/11)
グーグルから情報流出、東京駅も新大阪駅も…(読売新聞 2014/4/11)

国交省は2011年、「グーグル社に情報提供する際は、保安上問題のある部分を非開示にするように」と全国の空港に通知していたが、両空港は同年末以降、見取り図をメールなどでそのまま提供。グーグル社内では社員が見取り図つきのメールをグーグルグループで共有していたが、設定を誰もが見られる「一般公開」にしていた。朝日新聞
本来は施設関係者以外には知らせるべきでない情報がそのままGoogle側に提供され、しかもGoogleはそうした情報をネット上で誰にでもアクセスできる形のままに放置していたという、二重に軽率な事態が重なったなんとも間抜けな事故ということになりそうです。

そもそもグーグルグループに呑気な感じで重要情報を共有していた事情について、想いを馳せてしまう日々です。

しかも、今回の場合は空港や駅の保安情報までが漏洩してしまっただけに、単に間抜けな話ということで笑って済ませるわけにはいかず事態は深刻です。

非公開の空港図、グーグルが流出安易な情報提供に潜む危険(産経新聞 2014/4/12)

2020年の東京五輪開催を控え、テロ対策を見直している国土交通省も調査に乗り出したが、専門家からは一民間企業にすぎないグーグルへの安易な情報提供を疑問視する声も上がっている。(中略)新大阪駅では商業施設内にある、大阪府警鉄道警察隊分駐所の取調室の位置までが公開状態だった。JR西日本は「セキュリティー上問題がある」として駅構内のレイアウト変更も視野に検討する。産経新聞
今回の事故が起きてしまった空港や駅などの関係者は「企業側が相互秘密保持契約を結んだ上で提供したとはいえ、テロを意図する人物らに“機密情報”をさらす危険性は否定できない」(産経新聞)という当たり前の危機管理意識が希薄だったということが露呈してしまったという話でもありそうです。

さすがに国ではこうした状況はまずいということで、空港に関しては特別監査が実施されたようです。

新千歳、中部空港に特別監査=グーグルから図面流出―国交省(時事通信 2014/4/22)

空港ターミナルビルの図面が、グーグルのサービス上で一時誰でも閲覧できる状態だった問題で、国土交通省は22日、図面が流出した新千歳空港(北海道千歳市)を航空法に基づき特別監査した。今後、中部空港(愛知県常滑市)にも立ち入り、保安上重要な情報の管理状態を確認する。航空法の対象外のグーグルに監査は行わない。時事通信
これを機会に、国家の治安が左右されるような機密情報を他国の企業が運営するネットサービスにそのまま投げるという行為自体がはたして許されるべきなのかどうかという辺りも含めて、改めて政府では色々と検討していただきたいと思う次第です。

まあ、単にそういうのやめろって話になると、セキュリティ的に完全っすよとかいうベンダーがやってきて、アップデートできないOSやIE6でしか動かないシステムを納品してさらなるリスクに晒される可能性も否定できないわけですが。

それにしても、今回の件が起きた後のGoogleの対応のあり方が、さすが予想を裏切らないGoogleらしい展開になっていてるようでして、ほっこりした気分にさせられました。

陳謝をメールとは…グーグルに鉄道会社あきれ顔(読売新聞 2014/4/20)

会社の担当者は「問題を起こしたら直接事情を説明するのが普通」とした上で、「ああいう会社はなんでもメールで済まそうとする。足を運ぶとか、泥臭いことはしないものなのですかね」とあきれた様子だった。読売新聞
上記記事中では「福岡市に本部があるディスカウントチェーン店にもおわびメールが届いた」という話まで出てきており、Google日本法人が外部にダダ漏れさせていた取引先企業の機密情報というのは、今回主要メディアで報道された空港や駅以外についても相当数あるのではないかと推測される点が興味深いです。本当にGoogleはやっちまった感いっぱいです。

Googleが米国式に則ってドライにメールだけでお詫びしてくるというのであれば、秘すべき情報が漏洩されてしまった各企業も米国式に則って相互秘密保持契約に基づく損害賠償訴訟でも起こしてみてはどうでしょうか。やらないとは思うけど。ただ、もしかすると契約書上の裁判所が米国に指定されていたりして面倒で対応できないという罠があったりするのかもしれないですね。

なんといいますか、Googleとのお付き合いはそういう諸々の不条理なリスクも考慮した上で、あまり依存しない形にしてやり過ごすしかないような気がする今日この頃です。