個人情報保護法施行以来、過剰な反応を良くみる。形式的な対応のみ厳密にしていて実効が疑われるものが多い。「この情報は・・・にのみ使用し、他の目的では一切使用しません」とかいう決まり文句を説明したり書いたりすることを対策と思っている企業が多くてうんざりする。情報を遺漏した企業は多いが、ほとんどが形式的に上のような文言を唱えていたはずだ。ユーザとしては、「弊社から個人情報が遺漏したら、100万円賠償いたします」と書いてくれるほうがいい。
以上は一般論だが、以下は実際にあった例。
受け取ったエクセルのワークシートにパスワードロックがかかっていた。そして、それを解除するパスワードがほぼ同時に別メールで送られてきた。
全く同じアドレスにパスワードを平文で送るのではロックする意味がない。金庫と鍵を一緒に保管するのと同じだ。ロックをかける対象とキーは別ルート(できればオフライン)にするのが基本だ。
セキュリティとは別に、どうしてエクセルなのかも分らない。そのファイルは受け取った側が入力したり操作して返したりするものはなかった。ユーザがデータを触る必要がないのなら、PDFにしてパスワードロックしたほうがいい。そうすれば、違うプラットフォームやOSを使っていても読むことができるから。