耳タコなレベルであれこれ通達が来ているのにも関わらず、未だにWinnyで情報を流出させる馬鹿が社内に居て困る。

迷惑が掛かった方、申し訳ない（土下座）。
馬鹿は懲戒解雇、最低でも自主退職は免れないかと。

仕方のないことではあるが、罰ゲームに近い形でのチェックだの対応だの誓約書への署名というやつが求められる。ホント、客先対応上、仕方ないんだけど。

とはいえ、自宅の私物PCに業務データがないかどうかを、社製ツールを使って調べ、その結果を報告させる、という指示には疑問を呈さざるを得ない（根拠と有効性の点で）。

本人合意に基づくツール実行と報告が原則とされているが、

1.指示に従わない場合のサンクションの有無について明確ではない
2.社製ツールの実行による不具合が生じたときの責任の所在
3.個人の私的領域に踏み込む根拠が「本人合意」以外になく、その根拠自体の有効性・妥当性が疑わしい
→「業務指示」としては踏み込めない領域（のはず）。「やましいところがなければ従えるはずだ」のレベルの話。

と、情報セキュリティ施策としての有効性とは別次元の話として、労働法やプライバシーとの兼ね合いでの問題（≒広義のコンプライアンスと認識）が存在するのである。

で、残念なことに、情報セキュリティ管理者陣は技術系要員が大半を占めるせいか、このあたりに関する配慮が見られない（※）。いずれこのあたりで逆に「刺される」可能性を捨てきれないのは、単に杞憂と笑い飛ばせる話だろうか。

※もっとも、彼らの専門である（はずの）技術的施策・マネジメント施策も、「抜け」が少なからずあって、閉口するときがある。末端のクライアントセキュリティに関してのプロフェッショナルではない（＝人のPCの面倒をあまり見たことがない）あたりに彼らの限界がある。


例えばの話だが、

■福利厚生の一環で、P2Pトラフィックを通さない回線サービス（ADSLや光回線）をやや安価に提供、それを使っていれば自宅PCの調査を恒久的に免除する

■P2Pトラフィックを検出する「家庭用簡易トラフィックモニタ」を提供、その使用により自宅PCの調査を恒久的に免除する
→動作しているかのみ、一定頻度でモニタから情報を上げさせる

というような、従業員にとってもメリットがあるかたちでの対応は全くもって不可能なものだろうか、と考える。「北風と太陽」的理論で、縛るだけではダメだと思うんだがなー。