さくら銀行の顧客データが流出した。またかという感じもあるが、今回は、流出したデータの内容から、検索ソフトの開発途中のデータであることがほぼ間違いなさそうで、そうなると、ソフトの開発に携わった関係者に疑いがかかってくる。
最終的な事の真相は警視庁の方で追及されると思うが、それよりも、開発を委託した銀行側の外注管理の甘さが気に入らない。通常、この手の委託契約には、情報漏えいに対して相当に厳しい制限がついているはずである。だが、どんなに厳しい契約の内容になっていても、漏れたらおしまいなのである。漏れるデータによっては、厳しい契約内容で十分に機能するだろうが、今回のように生の顧客データが漏れたのでは、どんな契約になっていても、漏れたデータの本人にとっては、その契約の外に居るわけだし、第一、自分のデータが漏れたのかどうか知る方法がない。つまり、今回のようなケースでは、開発の当事者でどのような契約が交わされようとも、実際にデータが漏れたらおしまいなのである。流した犯人は見つかったとしても、自分のデータを流された多くの人たちは救われない。
この国では、一般に契約書にそのような流出防止の厳しい条件が記載されていることで、それ以上、だれも問題にしない。もし、私がその場で、「実際にデータがもれたらどうします?」「これでデータが漏れる心配はありませんか?」と質問しても、関係者は、おそらく「これだけ厳しい条件を付けているのだから、法的にも問題ない」と答えるだけで、埒があかないと思わる。
つまり、この事件の問題は、漏らしてはいけないという契約の条文よりも、実際に漏れない方法が考えられていないことが問題なのです。だが、我が国では、このように2重3重にガードすることをしない。動燃の事故の場合と同じように、事故が起きないことになっているため、ガラスも簡単に割れるようなものしか使っていない。万一の火災を想定して、建物の構造を特別に考えるという考え方は「採用」されない。その発想と良く似ている。1度起きたらおしまいだと言う場合、そこまで考えなければならない。結局、あの“1度”の火災事故が、我が国の原子力政策を根底から覆してしまった。原子力発電所の賛否は別としても、この事実を厳しく受け止め無ければならないし、直接関係していない人でも、ここから多くのことを学ばなければならない。だが、今回のデータ流出事件をみると、銀行の関係者は、「動燃」から何も学ばなかったと見える。
話しを元に戻すが、私が気に入らないところは、なぜ「生データ」を使ってテストをしていたのかということである。勿論、最終的には生データを使ってのテストが行われる必要はあるが、その場合は、銀行の建物の内部で実施されるべきだし、持ち物の検査はもちろん、室内での作業は全て撮影されているはずだし、作業の終了も、実際に終了してからビデオのチェックが終わるまで別室で待機させるぐらいのことは当然であろう。今回も、ビデオ撮影は行なわれていたようだが、おそらく「事件の捜査」にしか役に立たないのではないか。
もし社外でのテストに、「生データ」を渡していたとすれば、関係者の意識を疑わざるを得ない。20世紀の最後にして、どうして生データを使わなければならないのか。20年前ならまだしも、テストデータを生成するプログラムは幾らでもあるし、適当なものがなければ作ればいいではないか。もしかして、“「納品」物以外のプログラムは書かれない”ということなのだろうか。本来のあるべき姿で言えば、納品されるソースの正当性をテストするために、同等程度のボリュームの(納品されない)プログラムが書かれなければならない。少なくとも、それが私の考え方である。もちろん、今の時代は、テストデータを生成する既製品も使えるだろうから、実際には3〜5割程度のボリュームで済むかも知れないが。
だが、多くのソウトウェアの開発現場では、「納品」されるソース以外に、プログラムが1本も書かれていない。というより、書こうとしない。だから、そのような作業がスケジュールに入ってこない。外注に出す際に、発注側がそれを要求しないこともある。まるで、余計なものを作る必要はない、とでも言いたいのか、そのような作業を認めない。
今回の事件から、ソフトウェア開発に関係している人たちは、多くのことを学んで欲しい。起きてはならないことは、1回でも起きてはならないのである。動燃の事故が日本の政策を根底から揺さぶったように、この時期の銀行の不祥事は、銀行の存亡そのものに影響しかねない。もっとも、これくらいのことも出来ないのだから、危機を招いても当然なのかも知れない、といえば言い過ぎになるか?
だが、この問題は、1銀行の問題ではないことを考えると、まだ言い足りないぐらいである。不良債権問題や、大蔵官僚の接待問題などで、日本の銀行に対する信頼が揺らいでいる時を考えると、個人データの不正流出は、日本の金融機関全体のの信頼を損ねることにもなりかねない。この面からも、関係者の意識が低く過ぎはしないか。