Aporia

ブログ移転しました。

「PPAP問題」と上場準備

以前書いた「パスワード付ZIP」

(俗に言うPPAP問題)を

上場準備の観点から

もう少し掘り下げましょう。 

 

aporia.hatenablog.jp

 

求められるのは「機密情報のアクセス制限」

証券会社や東証の上場審査でも

機密情報にはアクセス制限をかける

ということが

徹底できているかを問われます。

 

これは

「パスワード付ZIPにして送る」

と同じ意味ではありませんが

全く違うとも言い切れません。

 

あくまでも、その時々に応じて

最適な方法を

判断し、取れているかを問われます。

 

つまり

「リスクがあると思ったら

 全部制限かけちゃう」

という対応でも、一応はOKなわけです。

 

東証はパスワード付ZIPは禁止していない

前回も述べたとおり、デジタル庁は

パス付ZIPはやめろと言うくせに

その代替手段は提示していません。

 

東証も、この問題について

コメントは出していないようです。

※2021年2月現在

 

恐らく、セキュリティについては

審査の担当者の判断に

委ねられるのでしょう。

 

資料をメール以外で送る手段を用意する

社内からメールで送られる資料には

機密情報が含まれているか。

そして含まれている場合は

ちゃんとパスワードがかかっているか。

…なんてことは

チェックしようがありません。

 

世の中、まだまだ主流はメール添付。

とは言え、上場しようと

準備している企業なのに

資料送付の手段として

メール添付しかない、というのは

問題があるのではないでしょうか

というのが私の意見です。

 

使うにしろ、使わないにしろ

オンラインストレージサービス等を利用して

外部とファイル共有ができる仕組みを

一つ導入しておくといいのでは、と

個人的には考えています。

 

行政や専門家の指摘は上場準備とは関係ない

セキュリティ教育を受けたとしても

人のやることには、

必ず漏れやミスがあります。

 

だから全部、とにかく添付ファイルは

ZIP化してパスワードかけちゃおう

というシステムを導入する会社が

増えたわけです。

 

安直やな、という気はしますが

リスク管理しようという「意思」、

それ自体は、決して

否定されることではありません。

 

これは、メールの暗号化とか

プロトコルとかの

「技術」の次元の話ではありません。

労働生産性」の話とも全く次元が違うんです。

 

専門家や行政の皆さんは

そこを勘違いしてはいけませんし

上場準備企業側も、彼らが言うことを

そのまま鵜呑みにする必要は

全くないと思います。

 

問われるのは「自ら対処する力」

問題なのは

パスワード付の添付ファイルを

送ったメールと同じ仕組み、

同じメールでパスワードを送付する、

ということに

セキュリティ上の大きな欠点があること。

 

ただ、何度も繰り返し言うように

その具体的、かつ効果的な代替手段は

誰からも提示されていないわけです。

 

オンラインストレージだって

完璧ではありませんし

不正ログインされてしまうと

ファイルを盗まれる可能性もありますし

サービスの運営者にのぞき見される

可能性だって否定できないわけです。

 

そこで、企業として

主体的にどう対処すると決めるか。

上場審査は、まさにここの

意思決定を見られるわけです。

 

マニュアル通りに整えたり、

他社の真似をするだけではいけない。

そう言われる理由ですね。

 

では具体的にどうすればいいのか?

システムで防ぎようがない以上は

 

・あらかじめ

 相手とやり取りする方法を決めておく。

(メール or オンラインストレージ)

 

・機密情報を含むファイルには

 パスワード付ZIPにするのではなく、

 ファイル自体パスワードをかける。

 

・必要な人にしか

 ファイルを送ったことが

 分からないようにする

 

・宛先を間違えないよう十分注意する

 

…という、基本的な対策を

徹底するしかないです。今のところ。

 

とにかく、証券会社と相談が必要です

上場準備の際はこの辺りの

細かいシステム運用のことも

証券会社とよく話し合って

方針を決めておくべきです。

 

さすがに自動ZIP化システムを入れろ、

とは言ってこないと思いますが

セキュリティ教育とその理解、

きちんと運用ができているかは

PPAP問題にかかわらず

確認されるところだと思います。

 

いずれにせよ

「何も考えてませんでした」や

「従業員個人に任せています」

では済みません。

 

自社のITリテラシーのレベルに合った

教育とシステム作りに、

時間に余裕のあるうちに

取り掛かっておきたいところです。