個人情報保護法の制定の時に、まことしやかに「病院で名前を呼ぶのは個人情報保護法上、問題がある」なんてことを言われたが、最近、遙かに深刻な過剰反応を耳にした。

某メーカーの社員が PC を紛失した。

このことにより、このメーカーは多くの顧客から取引停止を言い渡された。噂によると、この社員は、自殺してしまう可能性も考えて、軟禁状態におかれている、といった話まで出ている。

確かに、この PC に暗号化処理などはされてなかったらしい。

しかし、である。

この PC 紛失が発端となって、情報漏洩事件が起きた、という話は全く出ていない。

昔からセキュリティに興味を持ってきた一エンジニアとして、仮にも情報セキュリティアドミニストレータなる資格を持っている身として、こういった事件を聞くたびに思うのは、「誰かリスク評価したの？」という疑問である。

PC が紛失したとして、その紛失した PC から情報漏洩する確率はどのくらいか？ というのを考えたら、本当にそこまで過敏になる必要があるんだろうか？ 多くは善良な人に拾われて、遺失物として届けられるだろし、善良じゃない人が拾ったとして、まぁ、取り合えず起動してみるだろうけど、そこで普通にログオン用のパスワードさえかかっていたら、いくつかパスワードを試したところでおしまい。あとは中古 PC 屋に持って行って売りさばくぐらいだろう。中古 PC 屋であれば普通、買い取った PC の HDD はフォーマットしてしまう。

確かに、オートログオンが設定されていたり、パスワードが空だったら、さすがにそれはまずいとは思うが、普通にパスワードが設定されていたとして、その HDD を抜き出してまで、中身を漁ろうとする人が、紛失した PC を拾ってしまう確率は如何ほどなのか？

実際に、紛失した PC から漏洩したと思われる事件を聞いたことが無い。それでも、そのメーカーの顧客（その顧客も大手企業）が取引停止をするほどのものなのか？

PC を紛失してしまった社員は職場に復帰できるのだろうか？ 下手をすると一人の人間の一生を壊してしまうことにもなりかねない。意図して漏洩したのではない。さんざん世間で Winny での漏洩が話題になっているのに、自宅の PC で Winny を使っていて漏洩した、という訳でもない。純粋に「物を無くしてしまった」という過失である。

PC 本体の金額で換算すれば、せいぜい 20 万程度の物品の紛失である。確かに中に大事な情報が入っていたかもしれない。しかし、その情報も単に「紛失」しただけで「漏洩」は起きていない。今頃、HDD も初期化されて、中古 PC 屋の店頭に並んでいるかもしれない。だとすれば、「紛失」が「漏洩」につながる危機が既に無くなっているかもしれない。

それでも、取引停止というペナルティは「過剰」ではないのだろうか？