東証は証券界一体で再発防止に取り組め
記事本文
要約
東証システム停止の再発防止策を関係者一体でつくるべき。
感想
今月1日、東京証券取引所のシステムが停止したことは記憶に新しいですね。
株や証券の取引が終日出来なくなり、日本経済の一極集中のもろさも浮き彫りになりました。
取引所の一極集中自体は、効率性や合理性の観点からそれほど問題にはならないでしょう。
むしろやるべきは、システムに異常が発生した際にそれを迅速に検知・分析し、事前に定めた対処策に沿って速やかに解決にあたることです。
これは単なる機器の故障のみならず、サイバー攻撃への対応でも同様に考えられます。
昨今サイバー攻撃の手法や主体が多様化しており、どんなに防止策を講じていても、事故をゼロにすることは困難です。
そのため事故が起こることを前提として、そこからどう被害を最小化するか、さらに障害を排除していかに迅速に復旧するかを考えることが重要でしょう。
これは最新の考え方というわけではなく、政府が2009年に策定した第2次情報セキュリティ基本計画には、すでに「事故前提社会」というキーワードが記されています。
第2次情報セキュリティ基本計画(2009年2月3日策定)(抄)
第2章 第2次情報セキュリティ基本計画における基本的考え方と2012年の姿
第1節 第1次情報セキュリティ基本計画からの移行
(2) 第1次情報セキュリティ基本計画からの「継続」と「発展」② 「事故前提社会」への対応力強化
第二に、第2次基本計画の下では、事故が生じ得ることを前提とした形での対応力を強めること、すなわち「事故前提社会」への対応力強化を実現する。このため、関係者は、事前対策の取組みにもかかわらず情報セキュリティ上の問題が生じた場合を考え、事態の認知・分析、情報連絡、迅速な対応・復旧などの事後対応にも十分な目配りを行う。すなわち、あらゆる関係主体は、情報漏えい、情報システムのサービス機能低下・停止などの情報セキュリティ上の問題の発生を防止するべく事前対策に最大限の努力を行いつつ、それでも万が一の事態が有り得ることを認識し、これに向けた準備を怠らない。そして、万が一の事態においては、その影響範囲、影響の度合い、緊急度、原因などの事実関係を明らかにしつつ、迅速な対応・復旧を広く進めることで、事業継続性を確保する。
「事故前提社会」への対応力強化に向けては、事故の可能性を完全に排除する情報セキュリティ対策の実現は容易ではないという点に関する理解(気付き)を社会全体で増進する必要がある。また、万が一問題が顕在化しても、気付きを持って自ら考える主体が、過敏な反応を起こさず、事実を冷静に受け止めて適切な対応を迅速に行うための取組みが不可欠である。
なお、ここで「事故前提社会」とは、事故が有り得るから諦めて予防のための対策を行なわないということや、被害に遭うのは仕方がないことであると諦めるということを意味するものでは決してない。
10年以上前の政府文書ですが、今回の東証システム停止を鑑みるに非常に鋭く有用な考え方が示されており、舌を巻きます。
今の企業や政府機関のうち、いったいどれだけの主体がこの基本計画に書かれていることを実行できているでしょうか。
またこの基本計画は内閣官房に設置されている内閣サイバーセキュリティセンターのHPから閲覧することができますが、わざわざ調べようと思わない限り、知ることは無いでしょう。
上記は固い、いかにもお役所的なサイトですが、一般向けのセキュリティ普及啓発運動の一環として以下のサイトもつくられています。
こちらは柔らかく、Twitterで広報もしているので(会議開催情報botと化していますが)、セキュリティについてより有効に啓発する方法があるのではないかと思います。
例えば、今回のような社会的な影響の大きいシステム障害が起きた際、企業経営者や投資家、金融・IT業界関係者はアンテナが高くなっているはずですから、その機を逃さず過去に策定された計画や文書等から関連した記述を抜粋しツイート、文書のリンクを載せてみてはいかがでしょうか。
「過去の膨大な文書から関連した記述を探すのは困難」ということであれば、コンピュータに過去の文書をテキストファイルで読み込ませておき、テキストマイニングで引っぱりだしてはどうでしょう。
また過去の文書を読み込ませておけば、頻出する語句やキーワード、さらにそれらの関連性も可視化できるので、「このキーワードに関係する事故が起こった際はこの文書を参考にできる」とあらかじめ決めておくのも良いでしょう。
これは「事故前提社会」を意識した事前の対策としても有効なはずです。
テキストマイニングの有用性については自分も過去実際に手を動かして学びました。
もし依頼があれば、喜んでやります。
給付金の不正受給を許すな
記事本文
要約
個人事業主を対象にした持続化給付金の不正受給を防止する必要がある。
感想
コロナ禍で打撃を受ける中小企業・個人事業主に対し、経済産業省の外局である中小企業庁は「持続化給付金」という対策を打ち出しました。
具体的には、以下のような制度です。
- ある月の売上が昨年の同月の売上の半分以下になったとき
- 今年度の売上で任意の月(大抵は最も売上が少ない月)を選んで12を掛け、前年度の売上合計から引く
- その差額がもらえる(中小企業は200万円まで、個人事業主は100万円まで)
- ※企業は年度(4月~3月)、個人事業主は年(1月~12月)で換算
例えば昨年の9月に30万円の売上があったものの、今年9月に10万円の売上まで落ちていた場合、昨年の売上合計が300万円だったならば、今年9月の売上10万円×12か月=120万円を300万円から差し引いた180万円を受け取ることが出来る、ということです。
困っている経営者や事業主を救うために制度設計され、簡単に申請できるようにされておりますが、不正受給する例が相次いでいます。
具体例としては、虚偽の確定申告によって昨年収入があったと申告し、今年は収入ゼロのため差額をもらうといったことが行われているそうです(この手法で不正受給した大学生は捕まりました)。
サラリーマンや主婦、学生といった本来受給資格が無いはずの人たちに手口を教えて成功報酬を得る詐欺師も暗躍しているらしく、人間の悪知恵というかずる賢さというか、浅ましさに驚嘆します。
経産省はこうした事態への対処として、不正受給に対しては厳しい罰金や刑事告訴の可能性を示した一方で、自主返納をした場合にはペナルティを課さない考え方を示しています。
こうしたことから返金の相談が殺到しているそうですが、ここはもう一歩踏み込んで、「司法取引」を導入してはいかがでしょうか。
例えば、不正受給の罰金としては延滞金と加算金(2割)があり、すでに加算金に関しては梶山大臣が10月6日の会見で自主返納者からは徴収しないとしているので、延滞金の方を「不正受給の指南をした詐欺師や詐欺グループ、また不正受給をしている他の者」についての情報提供を行った場合に免除するといった取引をもちかけてみるのはどうでしょう。
上手くいけば詐欺グループを一斉摘発でき、怪我の功名になるかもしれません。
またこの仕組みは報奨金を与えるのではなく、罰金を減免するという措置であるため、詐欺グループと自主返納者が共謀して報償を繰り返し受け取るといった新たな不正も防げるでしょう。
今後、こうした不正受給にかかる自主返納の動きのなかで「自分も不正かもしれない」と悩む人に「こちらに相談してくれれば行政に申告した際に不正とされないようにする」と言ってだますような詐欺が登場する可能性も考えられます。
詐欺を防ぐ仕組みづくりは大切ですが、我々一人ひとりが不正を行うのは悪であり、自分の身を滅ぼすことを理解する必要があるでしょう。
ソクラテスが「ゴルギアス」の中でポロスに語った「不正を行って罰を受ける者よりも、不正を行って罰を受けない者の方がより不幸だ。なぜなら不正を行う方が不正を受けるよりも醜く、すなわち不正を行う方が悪いことであり、悪をなすものは不幸であるから」という教訓を忘れずに、「ばれなければ大丈夫」という考え方はやがて自分を不幸にさせるということを意識して行動する人が増えてほしいものです。
