沖縄・尖閣諸島沖で海上保安庁の巡視艇と中国漁船が衝突した映像が流出した事件は、三つのITリスクを浮き彫りにした(図)。
一つめのリスクは、動画共有サービス「YouTube」に動画データが流出した際の影響の大きさだ。データの回収や投稿者の特定は不可能に近い。元のデータを削除しても、他の利用者が元データを複製しYouTubeに投稿する。You-Tubeで「尖閣」をキーワードに検索すると、多数の衝突映像が表示されるのはこのためだ。
YouTubeに情報を流した犯人を特定するのは、一般企業にとっては事実上不可能だ。グーグル日本法人は、IPアドレスなど投稿者の情報の任意提出には応じなかった。提出したのは、東京地検が捜索令状を提示したからである。
二つめは、ソーシャルメディアを通じて閲覧者が拡大するリスクだ。YouTubeに尖閣諸島沖での衝突映像が投稿された直後に、不特定多数のユーザーが閲覧。11月4日に投稿されたコピーの映像の再生回数は、1週間で280万回以上にも上る。ミニブログの「Twitter」やSNS(ソーシャル・ネットワーキング・サービス)の「mixi」などで、「YouTubeで衝突映像を閲覧できる」といったことが一気に広まり、YouTubeへのアクセスが殺到した。
三つめは、情報管理体制の不備により、内部関係者が機密情報を外部に持ち出すリスクの拡大である。今回のケースでは、海上保安官が共用PCから映像データにアクセスし、これをUSBメモリーに保存して外部に持ち出したもようだ。海上保安庁は、情報管理体制について「捜査にかかわることなので、一切お答えできない」(広報室)とするが、重要な映像データが外部の機密情報としての位置付けがあいまいだったようだ。
情報が持ち出された後の二つのリスクを回避するのは困難だ。文書だけでなく、動画や静止画、音声といったデータの流出も、組織に大打撃を与えかねない。企業は、重要な情報を無断で持ち出せない仕組みが機能しているかどうかを再確認する必要がある。
