ワクチンの予約システムに関しては、各国のDXのあり方が実によく現れていると思われるのですが、今回、日本の自衛隊が作ったワクチン予約システムの件でよく分かったことが、日本ではいわゆる有識者という人々やマスコミの人々の、ITセキュリティに関する知識レベルがあまりにも低いということです。

システム業界では当たり前の、脆弱性が見付かったらまず当事者に通報して、修正をしてもらって、「システムの品質をどんどん上げて皆で得しましょう、まあ、お互い様ですよね」というやり方を知らない人があまりにも多いのです。

そういう人々が、かなり大規模な組織で意思決定に関わっていたり、メジャーなマスコミで報道に携わっているわけです。かなり大きな金額を動かしたり、世論を誘導するような人々が、そういう認識なのです。

これは、恐ろしい話です。システム化からDXにお金をかけようとする人々にいろいろな事を吹き込む人達が、そういう知識レベルなわけですから。

さらに、取材目的であっても、不正アクセスや業務妨害になるようなシステムの利用は問題がある、というのは当たり前の話です。普通は、リスク管理部やセキュリティ部が社内向けに講習を行うんですが、日本の組織というのは、かなり規模が大きいところでも、この辺の教育は非常に手薄です。

私は今回の件で、ほぼボランティア感覚というか、氷河期冷笑系テキストサイト住人としての趣味といいますか、要するに晒し目的で、ちょっと目立っている有識者や記者に「せめてCISSP（Certified Information Systems Security Professional）の教科書を読んでくれ」とお願いしており、英語の原文のサイトを送りつけたりしています。

セキュリティ事例を読み物として楽しんで大興奮している私のような変人と違って、彼らは、コンピューターもその周辺の人間も嫌いらしいので、どうせそんなものは読まないんでしょうけれども。

そういう人々になんとか知識をぶち込むには、脅し半分の研修をやる他にないのですが、やはり日本は北米や欧州に比べますと、この辺りの実務における教育が非常に緩く、 手間もコストもかけていないのです。そもそも、研修を担当する人間やセキュリティなど内部統制の人間の賃金が日本は激安なんです。下手すると半分とか三分の一です。つまり、それなりの人間を配置してコストをかける気がないということです。どこの発展途上国だよお前、という状態ですよこれ。

これが、ITセキュリティがかなり重要な金融でもそうですし、 マスコミや官公庁となりますと、ガンガン訴訟される国や地域に比べると本当に緩いというか、北米や欧州の水準で見ると殆どやっていない感覚に近いのです。

性善説で仕事をやっているので、まさかそんな厳しい研修は必要ないだろう、と思っているところが多いのです。例えば、イギリス標準での研修設計をすると、そんな悪意を持った人はいるはずないでしょう、と驚かれてしまう場合が多いんですけれど、世の中は悪人だらけなのですよ。

北米や欧州北部の場合は訴訟社会なので、 働いている人間もマスコミの人も、とにかく訴えられたくないので、 自分の足元をすくわれそうな案件については結構熱心に勉強していたりしています。特に、ITセキュリティに関しては熱心です。

物理的なセキュリティでも、正直言って日本よりも徹底しているところが多いのです。日本だと、机の上になんでもかんでも投げ出してるオフィスが結構あったりしてドン引きしますけども。日本と比べると、イギリスなどは杜撰なイメージがありますけども、実は、この辺は結構厳しいのです。

事業部やユーザーサイドも割と意識が高くて、 外部のベンダーは割高でも実績があるところにしたいとか、このセキュリティ・ソリューションを入れたいといった意見も、割とすんなり通ったりします。

案外こういう細かいところが、DXが上手く行くための下地になっていると思うんですけどね。