国家的損失を招いたノバルティスファーマ社員による臨床試験データの改ざん問題！再発防止策に向けて身柄拘束を急げ！

国家的損失を招いたノバルティスファーマ社員による臨床試験データの改ざん問題！再発防止策に向けて身柄拘束を急げ！

ノバルティスファーマ

ディオバン

ノバルティスファーマ社の金をもらって、ノバルティスファーマ社の社員を臨床調査メンバーに加えて、その社員がデータ改ざんを行った。

• データ改ざんは持っての他で犯罪です。

この調査に加わってデータ改ざんを行った「ノバルティス元社員（白橋伸雄 Nobuo Shirahashi）」は逃げ回っているので早く捕まえて謝罪釈明させるとともに、厳罰に処すべきです。

ノバルティス元社員「白橋伸雄」

この人の写真とかがネット上に何もないのはどういうことだろう。研究者でもなんでもない。鼻から「如何様野郎」だったわけだ。プロフィールも何もない。ネット上の逃げ足も速かった。というか最初から準備しての犯罪だった訳だ。こいつを利用して巨億を手にして謝罪も何もしていないノバルティス社にも社会的責任の追求と明確な制裁が加えられるべきだ。

ノバルティスファーマ社は不正な利益を得たわけで重加算税？を取り立てるべきだ。

• 改ざんを見抜けないチェック能力も問題。

• 調査メンバーに利害関係者を入れるのも問題だ。

そもそも製薬会社から直接金をもらうのも問題。一私企業のために国のお金を使うなど持っての他。金儲けを手伝うための研究では国家背信行為だ。

.*.

ISMSへの示唆

1. コンプライアンス
2. 説明責任が果たせるか。
3. データ改ざんを防止する仕組み。
4. 十分なトレース機能
5. 役割責任と資格要件の明確化

.*.

2014年6月10日

白橋容疑者が漸く逮捕された。ネット上では1年前から容疑者が特定されていたのに逮捕まで1年も掛かった理由も当局は明らかにすべきだろう。

.*.

罠に掛かった？リッチモンドホテルのサイト運用部門！情報売って小遣い稼ぎ？

罠に掛かった？リッチモンドホテルのサイト運用部門！情報売って小遣い稼ぎ？

リッチモンドホテルズは昔はロイネットホテルといった。ロイネットホテル自身が２つのホテルチェーンの合弁だったが、結局、ダイワロイネットホテルズとリッチモンドホテルズに分かれてしまった。

オンライン予約などのネットサイト運用は外部に委託しているようだ。ここは２グループに分離した後も継続して利用している。委託先と各ホテルが連携する形だ。プライバシーポリシーはほぼ共通だが、分離後も適切な見直しを行っていないとも言える。ダイワロイネットとリッチモンドの両方とも漏洩しているだろう。ダイワロイネットもメンバー登録して同じようなことをやれば直ぐに結果が出るはずだ。

問題はこの委託先＜会社名？＞だ。

誰かが会員情報を外に流している。多分誰かのアルバイト、小遣い稼ぎだろう。しかし、責任は委託元のホテルチェーン側にある。適切なかつ有効な監査が行われていない。

＜トラップ＞

罠はこうだ。まったく使わない新しいメールアドレスをリッチモンドの会員情報に加えた。１月もしないうちにそのアドレスに向けて悪質なスパムメールが届き始めた。誰も知らないアドレスに。スパムといっても詐欺まがいのメールだから性質が悪い。

.*.

プライバシーポリシーに関する問い合わせ先が設定してある。泥棒と警察が一緒になっているようなものだ。サイト責任者の問題を報告する先がサイト責任者だからこれは揉み消されて終わるだろう。

プライバシーポリシー

プライバシーポリシーに関するお問い合わせはこちら

.*.

ホテル側にはセキュリティに強い人材がいない、監査する時間がないなど、委託先が野放しになっているに違いない。だからIT経験のあるセキュリティアドバイザーを利用するのが取り敢えず最良の方法だろう。

.*.

スペインの列車脱線事故(2013-07-24)のISMS教訓

スペインの列車脱線事故(2013-07-24)のISMS教訓

事故概要

7月24日、スペイン北西部のガリシア州サンティアゴ・デ・コンポステラで列車が脱線した。当局は25日未明までに、死者数が77人に達し、100人以上が負傷したと明らかにした。 73人の死亡が現場で確認されたほか、病院で4人が亡くなった。大幅なスピード超過（設定速度の倍？）でカーブに突入したのが脱線の原因。急ごしらえのディーゼル車両も組み込んでいたことが脱線を容易にしたとの情報もある。真の原因解明には調査委員会の報告を待つしかないが、1年くらいは掛かるだろう。

興味深いのは運転手は日ごろからスピード超過運転を試みていた節があること。其れは運転手のSNSへの書き込みから明らかになった。スペイン文化の特性なんだろうか、その書き込みを鉄道会社に誰も伝えていなかったか、伝えられたほうも無視していたか、結局は何も生かされなかったのだ。鉄道会社の無防備な姿勢は非難されるだろう。もっとも当事故は列車停止装置も作動せず、杜撰な管理のオンパレードになりそうだ。尼崎列車脱線事故も思い出される。

.*.

賢明な管理者なら理解すべきことがある。

航空会社や鉄道会社は一旦事故が起きると重大事故になること。そのためテロのターゲットにもなりうる。他にも重要施設の管理では同様のリスクを抱えている。奇しくもNSAの情報収集がスノードンの告発を受けて問題になったが、日常的な情報収集が重要なのは言うまでも無いことだ。

ネット上の関連情報はSMSサイトも含めて収集し、リスクの有無をチェックする必要がある。フリーのツールで誰でも出来ること。

加えて、社員のSNSは社内情報の流出、炎上被害などを考慮して、監視の対象とすべきだ。

.*.

日本での事例としては、コンビニのアイスケースに人が入って営業妨害の事件が続けて2件発生しているが、これもSNSサイトが炎上し、その後ようやく外部からの指摘で当事者（コンビニ本部）が気付く始末だ。

ネット上の、あるいはSNS上の自社企業・自社製品・自社サービスがどのように話題になっているかを継続的に監視するのは今の時代では最早避けて通れない取り組みだ。監視は24時間。外部委託でも構わないが、社員のSNS監視まで外部に委託するのは躊躇うかもしれない。

.*.

（１）リスクアセスメント

ネット上の情報を監視しないときのリスクを評価。他人ケース、社員ケース。

（２）対応

役割責任の設定。基準と手順の開発。実施とレビュー。

事業継続管理との連携を含める。

.*.

ファミリーマートの機密情報漏えい事件（「香川真司」画像のツイッター投稿）

ファミリーマートの機密情報漏えい事件（「香川真司」画像のツイッター投稿）

.*.

ファミリーマートはホームページに謝罪文を載せた。

https://www.family.co.jp/
https://www.family.co.jp/company/
https://www.family.co.jp/company/news_releases/2013/130720_1.pdf
『２０１３年７月２０日
ファミリーマート加盟店従業員に関するお詫び 
平素よりファミリーマートをご愛顧賜りまして誠にありがとうございます。
このたび、ファミリーマート加盟店の従業員が同店の防犯カメラで記録した映像をインターネット上に公開していることが判明いたしました。
関係各位には、多大なるご迷惑をお掛けしましたことを心からお詫び申し上げますと共に、今後同様の事態が発生しないよう、コンプライアンス指導を再徹底してまいります。
以上』

これだけの短いものだ。

.*.

事件の概要（ネット情報の聞きかじり）

小田原市にある「ファミリーマート木村入生田店」。７月１５日の朝、帰国中のマンチェスターユナイテッド所属「香川真司」選手が来店したらしい。それを聞いた別のアルバイト店員（１９歳、大学生）が防犯カメラの録画映像を確認して、自分のスマホで撮影した。撮影した映像は７月１９日夜、ツイッターに投稿された。

アルバイト店員のツイッターはその夜のうちに炎上を始め、ファミリーマートの店舗、店員の名前、通学先などが特定されてしまった。問題の店舗には翌２０日朝に通報され、店員は解雇、ファミリーマートは謝罪を出した。広報担当はもし「香川真司」本人なら謝罪したいと答えたらしい。

.*.

（疑問）

1. ファミリーマートはこれで一件落着と思っているのだろうか？。
2. ファミリーマートが言う「コンプライアンス指導」って何だろう？。

.*.

ISMSチェック：順不同

1. 「香川真司」本人なら謝罪すると受け答えした広報担当は駄目だろう。誰が移っていようが謝罪しなければいけない。誰であれ知り合いなどが見れば本人が特定され想定外の悪用も懸念される。ファミリーマートは有名人でなくても誰であれ謝罪すべきだ。こういう基本的なことを本社の人間が分かっていないのだからコンプライアンス指導は自分自身に向けられるべきだ。世間に恥をかいていることを分かってください。常識的には香川選手に確認の連絡をファミマ側から取るべきだろう。少なくとも店員が其の名前で映像をアップしているのだから。全く上から目線の対応だ。
2. アルバイト店員は容易に防犯カメラの録画映像を見ることが出来ること自体に驚く。画像情報はHDDかテープに保管されている筈だが、ファミマのバイト経験者なら誰でも見ることが出来るのか。もし、万引きの様子を確認するなどの目的で、容易に閲覧できる環境がファミマの裏側にあるのなら、権限設定（アクセス制御ポリシー）が妥当かどうか検証すべきだ。全くフリーにしておいて、教育指導で全部カバーするのは無理がある。
3. 特に録画映像の削除の権利がどうなっているかは重大だ。同様に関し装置の電源コントロールの権限も重要になる。本部スタッフが持つ権限、店長が持つ権限、アルバイト店員が持つ権限。これらの仕分けが適切でなければ、コンプライアンス指導は口先だけに終わる。
4. 画質も問題だ。本人かどうか分からないような画質の防犯カメラを置いて何か問題があっても使い物にならないなら防犯カメラの意味が無い。ファミリーマートの広報の言い方は現地に画像の確認に行ったかどうか分からないが「画像からは確認できませんでした」すなわち劣悪画像の防犯カメラですといっているようなもの。
5. バックヤードにも監視カメラが必要だね。
6. 炎上などと大騒ぎになっていなくても、類似事例が過去になかったかどうか調査することも必要だろう。其の上で本当に有効な再発防止策を打つべきだ。コンプライアンス指導で一本釣りしている対応はファミリーマートの情報セキュリティ管理のレベルが不十分なものであることを伺い見せるものだ。
7. メディア（HDD/TAPE)の管理状況も気に成る。基本的には消耗品だ。何処で誰の責任で廃棄されるのか。入れ替え作業の手順は適切かなど。かぎ付きの保管庫の存在、かぎ管理なども。ファミリーマート本部からは有効なマニュアル類が提供されているか。もし何もなければファミリーマート本部の言うコンプライアンス指導の中身も怪しくなる。

.*.

このような問題・事件はファミリーマートに限らない。録画・録音を顧客との接点で行う企業はいくらでもある。下手すれば似たような状況に追い込まれる。

店舗であれ、コールセンターであれ、適切な管理手順、管理環境、法廷問題で使える十分な品質と保管期間の設定をしているかなど、再点検すべきだろう。

この事例は又、SNSの炎上がもたらすインパクトを理解するうえでも有用だ。

.*.

記事タイトルに「機密情報」と入れたが、ファミリーマートが来店者の画像情報を機密情報として認識していたかどうか大いに疑問であるため、敢えて入れたものです。

画像認識技術が高まった昨今では、とんでもない悪用も想定しなければいけないだろう。

.*.

<Pマーク認証の有効性＞

Pマーク取得のロゴ"P10840217(04)"がホームページに掲載されている。従来からPマーク認証ではマネジメント品質への有効性は疑問視されていたが、今回は其れを露呈した格好になる。

ファミリーマートは今回の事件を契機にISMS認証への取り組みも検討せざるを得ないだろう。もっとも審査機関・審査員を間違えると元の木阿弥になります。

.*.

クラウドと電力供給の対比は妥当か？

クラウドと電力供給の対比は妥当か？

何処かの記事にクラウドを電力供給システムに対比させた説明がありましたが、どちらも中途半端な知識しかありませんから理解が届きません。

電気というパワーを供給する電力供給システムの発展の歴史。コンピューティングというパワーを供給するITパワー供給システムの発展の歴史。

当初、電力は個別に供給されていた。公共サービスではなかった。工場は自分で発電設備を持って必要な品質の電力を作っていた。電力は自己解決すべきものだったのだ。今の電力は公共サービスになっている。とは言え、災害対策レベルでは自己解決するしかない。今でも工場には自家発電が設備されている。次代の電力供給は電力会社から一方的に供給を受ける関係でなく、相互運用する関係になるだろう。其の中には自然エネルギー利用の電力も、非常時運用の電力も組み込まれるに違いない。

利用者は自分が使っているエネルギーがそもそも何処からもたらされているかは全く気にしない。知ることも出来ない。東電か関電か、何処かの工場の余り電気か、太陽エネルギー化など。あるのはコンセントとメーターだけだ。

ITパワーは企業内のデスクトップレベル、サーバーレベルは自己解決型。データセンターサービスはやや公共サービスに近づいた。クラウド化により相互運用性・公共サービス性を高めた。広域サービス対応のリソースもローカルなリソースも統合的に利用できるようになる。

利用者は自分が利用するコンピューティングパワーはどのリソースを使っているか全く気にしなくなる。

と言いたい所だが、色のない電力と色のある情報は区別しない訳には行かない。純粋なコンピューティングは対比させてOKだが、情報そのものはユニークな発展を遂げていかざるを得まい。

.*.

コンピューティングパワーそのものは対比できるが、情報の色が付いた部分に対する公共サービス化、ユニバーサルサービス化は更なる技術革新が求められるだろう。

.*.

結論

• 対比できるのは色の着いていない部分。

• 電気エネルギーに色が付いていない（と考える）からユニバーサルサービスは成立する。 コンピューティングパワーも色の着いて部分はユニバーサルサービスが成立する。

• 色の付いた部分（情報、コンテンツ、コンテキスト、？）を無色にする技術が確立すれば見掛け上のユニバーサルサービスは成立する。手元には鍵だけ。

.*.

＜ISMSでは何を考えるか？＞

1. IT資源構造の見直し。電力を買うという当たり前のことが、ITパワーにも来る前提でインフラ整備に関する長期プランを見直す。

.*.

集中アクセス注意

集中アクセス注意

• 集中アクセスの定義を厳密に決める必要は無い。感覚的には目立った事例をピックアップすることになるだろう。

.*.

集中アクセス注意>so-net.ne.jp

• 本日、特定アドレスから短時間で集中アクセスが記録されましたので、一時閉鎖いたしました。訪問者の方は注意事項・お願い事項をよく読んで違反の無いようにお願いします。

.*.

1. 初回アクセス　2013/07/15 18:57:52
2. 集中アクセス　2013/07/20　127アクセス/140アクセス累計
3. ホスト名　p76ecb8ac.tokynt01.ap.so-net.ne.jp

.*.

集中アクセス注意>vectant.ne.jp

• 本日、特定アドレスから短時間で集中アクセスが記録されましたので、一時閉鎖いたしました。訪問者の方は注意事項・お願い事項をよく読んで違反の無いようにお願いします。

.*.

1. 初回アクセス　2013/04/08 15:52:45
2. 集中アクセス　2013/07/24 58回/累計59回
3. ホスト名　36-2-243-212.aichi.otk.vectant.ne.jp

.*.

• vectant

1. 丸紅系のＩＳＰ。

.*.

社員のネット炎上は個人問題にとどまらず！急がれる支援体制の充実！

社員のネット炎上は個人問題にとどまらず！急がれる支援体制の充実！

前々からSNSを利用する社員の不用意な書き込みで企業情報が流出するリスクは指摘されている。SNSを閉空間と勘違いしている人間は案外多いものだ。友達が社員ばかりだからつい気を許して仕事の話をはじめてしまう。

仕事の話や会社の話でなければセーフという訳でもないのが「炎上」の話です。炎上は多分中国では日常茶飯事。ネット社会だけが民意のはけ口みたいなものだから当然でしょうね。とは言え、炎上の定義は曖昧ですね。

特定のサイト、特定の記事（エントリー）、特定の書き込み（コメント、つぶやき）に対する否定的な書き込みが集中すること。当然、アクセスも集中する。同時に、ネタもとの記事に関連して、特定の個人、団体に対する否定的な記事･書き込みがネット上のあちこちのサイトに書き込まれること。

問題となった記事やサイトは閲覧不可・運用不可となり、削除・閉鎖に追い込まれる。

発端がネットへの書き込みによることもあるが、関係者のメディア等での発言や不祥事などの報道などを発端とすることもある。

.*.

個人的なことであっても会社のサイトに炎上が及ぶ。社長の不祥事で炎上なら諦めもつくが、そういう意味では全柔連のサイトはいつ炎上しも可笑しくないのですが、一社員の個人的なことで会社のサイトが炎上したら超一大事。いつの間にか世論の攻撃対象になるのだから士気も落ちる。客も引いてしまいます。ネットビジネスの場合はネットが使えなくなるので事業継続上の問題となり更に深刻です。

.*.

対策は？

教育は月並み。当然だけど、前々不足ということだ。

車内のヘルプデスクのサポート範囲（サポートメニュー）に社員の個人的な炎上への対策を加えることだ。謝罪や応対の文面、ネット上からの削除（プロバイダーへの依頼）、検索エンジンへの対応など素早く行なうには組織的な非戦が有効だ。社員が個人でおろおろしている間に火の手は会社サイトにも押し寄せます。

.*.

任天堂（不正アクセス）はヤフーのパスワード流出事件の被害者か？

任天堂（不正アクセス）はヤフーのパスワード流出事件の被害者か？

ヤフーが流出させたユーザーのパスワードが任天堂（クラブニンテンドー）で本格的に利用された。共通のパスワード利用は頻繁にゲームを楽しむユーザーは共通にしている可能性はかなり高い。

犯人がヤフーから盗んだとされているが、ヤフーの内部の人間が犯行の主である可能性も否定できない。

任天堂はヤフーのお粗末の犠牲者だから損害賠償請求を出来るだろう。ゲーム業界、ネット世界の力関係もあるから、思案しているところかも知れない。

（２０１３年５月）ヤフーのパスワード流出事件

発生が発表されたのは2013/5/17。任天堂の発表は2013/7/5。確認された最初の不正アクセスがあったのは2013/6/9.。

任天堂は3週間の間にどういう対策を取ったかどうか。厳しく疑問が残る。
不正アクセスが始まってからも

事前にユーザーを守ろうとしなかったばかりか、基本的な監視すらやっていなかった。ネットビジネスをやる資格すら持ち合わせていない。

ヤフー/ソフトバンクは情報漏洩の常習犯で犯罪者に匹敵する最悪の企業だが、任天堂は其れに告ぐ期待はずれの企業ということになる。

.*.

任天堂はヤフーとの関係では被害者の一人だろうが、ユーザーとの関係では加害者の一人にされてしまうだろう。

任天堂は明らかな不作為の過失を犯している。ネットワークサイトの運用は得意分野では無いだろう。どこかに委託している可能性が高い。責任意識が希薄になっていたのだろう。先日の別の記事で危惧したことが現実のものとなったのは残念だ。そもそもISMSへの取り組みも無いのではないか？。となれば誰がどのように警鐘をならして任天堂の経営陣には伝わらない。

スマホ、タブレットの構成で経営基盤すら怪しくなって来ている中では情報セキュリティの議論は後回しになったことだろう。

8.3予防処置

ヤフーの流出事件の後、各ネットサービス企業がどのように動いたか興味深い。あれだけ大規模な事件事故が起きていて、何もしていなかったら、少なくともネットビジネス企業の経営者は重大な責任を問われるだろう。

パスワード流出という問題の性格から対策は緊急を要する訳だ。アクセス時の注意喚起、コンピューターによる自動ログイン被害を回避するため手動操作を手順に加える工夫、アクセス元エリアのマッチング、アイテム売買の一時凍結、登録メールアドレスへの注意案内送付などやることはいくらでもある。

.*.

任天堂の株価が戻ることはもうないだろう。来週は下がる一方だろう。それでも売ってしまったほうがいいかな。もっとも、ソフトメーカー、エンターテインメントサービスプロバイダーに生まれ変わればチャンスは来る。

.*.

不正アクセス1545万回、不正ログイン２万３千回。ここまで放置した任天堂ってどういう会社なんだろう。担当もどんな顔で記者会見したのだろう。 担当者を総入れ替えしていなかったら、こんな会社は今後も信用できないね。IR情報のウォッチは欠かせない。

任天堂IR情報

.*.