最近の事例ではウイルス感染後漏洩し発覚後１日以内に公表してしまっているところが目立ってきた。すでに珍しくもなくなったWinnyでの情報漏洩事件であるので新聞等での扱いは以前より大きくはない。

漏洩記事の内容はほとんど同じような内容で、

「○○○は、個人情報、業務情報などがXX日インターネット上に漏洩したと発表した。○○に勤める職員・社員（年齢）が　職員・社員は・・・データを持ち駆り私有のパソコンを使って、Winnyを通じで流出したと見られる。」

このような発表をされると、この漏洩した情報がその時点でWinnyで入手可能であるならば、

「Winnyでこのような情報を公開しました、Winnyで入手できますので自由に利用してください」

と発表しているに等しい行為を行っている。



たとえば、クレジットカードの情報が販売店より漏れたとする。

ニュースの記事

「○○○○は△△△株式会社に委託してたクレジットカードの情報が同社の職員・社員（４３）の自宅パソコンよりインターネットに漏洩したと発表した。同職員は自宅でWinnyを利用しておりウイルスに感染したため今回の情報が漏洩したと思われる。
17日の時点で、今回の漏洩事故による個人情報の不正利用などは報告されていないという。○○○○は関係者へ事情を説明し、謝罪するとしている。」

悪用する人にはこのように聞こえる：

「○○○○はWinnyで顧客のクレジットカード情報を公表しました、ご自由にご利用ください。名簿に乗っている人たちにはまだ知らせてないし、今のところは売っている人がいないので今のうちならcarder*1に１アカウント20ユーロで販売可能です。」

公表はこれっきりなので、早く公表してしまえば二次被害を報告せずに済む。



Winnyが使用できれば、機密保持契約や利用契約なしに入手できる状態であるため、公開された情報の利用に制限がかからなくなってしまう。



一部の官庁系では、一切検討せずに、速やかに公表することが二次被害や類似の防止観点ためとなっているので、多くのケースで二次被害を広げるために公表している。下は頭を使って被害者のためになるようにしても、何も考えていない監督官庁から強要されたら奏さざるを得ない。



情報漏洩事故の公表を求める「政府の基本方針」、対象は民間だけでいいのか | 日経 xTECH（クロステック）


二次被害防止の観点から、可能な限り公表すべきというのが、官が民間に出した指針であるが、二次被害が拡大する場合は公表は不可能なはずである。



・二次被害の例（確認済みの事例）

　名簿業者への名簿販売
　振り込め詐欺業者が漏洩名簿利用？
　わいせつ画像販売業者が写真を無断販売（秋葉原での路上販売）
　成人向けサイトでの無断掲載
　週刊誌などに漏洩した写真の無断掲載
　興味本位での訪問・いたずら電話
　住所などの公開

二次利用するのは十数人のキンタマコレクターであるが、今までに以下のような二次被害が発生している。二次利用を目的として収集しているコレクターが入手できる確率をできる限り下げ二次被害防止措置をとって欲しい。

P2P調査|ネットエージェント株式会社


Winnyでの情報漏洩の類似事例はあまりに多く、公表による事件以降の類似事案の発生回避はすでに役割を終えている。



なぜこのようになっているのかというと答えは単純で、Winny以前は、当然ながら、公開停止したあとに公表していたのだが、Winnyでの情報漏洩は公開中に公表しなくてはいけなくなったからである。Web上で個人情報が誰でも見られる状態であった場合、少なくとも見られないようにしてから公表する。Winnyは見られない状態に容易にできないため、前提条件が抜けた状態での条文どおり、慣行どおりに意思決定をしてしまうのである。


Winny以前に出された指針

http://www5.cao.go.jp/seikatsu/kojin/kihonhoushin-kakugikettei.pdf