全日空ANAの2013/02予約情報消失事故はISMS基本の欠落?
全日空ANAはISMSの認証を取っていないのだろうか?
JIPDECの認証取得組織を検索してもなかなか出てこない。本当に取得していないんだろうか。認証取得していなくても実質的に取り組んでいれば問題ないが実態が崩れているから困る。公益企業の一つで、情報管理の比重は小さくないのに、どういうことだろう。経営陣も無責任ではないか?。個人情報保護法への対応だけでお茶を濁して済ます腹なら失格だな。
全日本空輸のサイトを見てもISMSに関する記述は見当たらない。変わりにプライバシーポリシーを覗いてみた。個人情報の開示請求は有料設定だ。500円。ちょっと確認したいときでも500円は高い。誰もが全日空並みの給料をもらっているわけではない。人の情報を都合でしかも無料で収集しておいてその確認の時には500円も払えというのはお役所的だ。
ANAがISMSの認証も取得できないでいるなら、なおさら情報セキュリティの担当役員(CISOまたはCIO)は恥ずかしいだろう。予約システムの停止事件も記憶に残るが、ANAのシステム担当者は駄目だな。CIOは誰なんだ?。
システム関係は子会社に一切任せているから本体は知らないで通しているのかな。そうなると役割責任と権限の関係もゆがんでいる事になる。経営体の問題だ。
さて、
情報消失はきわめて初歩的に管理システムの欠陥だ。バックアップを取るのが常識。予約などという不連続に発生する情報の場合はリアルタイム性も要求される。ミラーリングとか。プラス、夜間バッチでの確保も。
2月分全部がずっこけるというのはありえない事故だ。
担当者が意図的に削除したとしか考えられない。
大いなる勘違いということか?
ログからの掘り起こしでも復旧できそうなものだが、ログ管理も中途半端だったわけかな。ログまで消していたら犯罪だからね。
いずれにしても外部からは分からない事情があるんだろう。
.*.