情報セキュリティや管理体制などいろいろ言われていますが、大雑把な指摘ばかりで具体性に欠けると思います。
根本的な問題点について書きます。
【破れないセキュリティはない】
ありません。哲学的表現になりますが、リアルな話で
「存在するものは全て盗める。唯一、盗めないものは存在しないもの」です。(私が考えましたw)
私の大好きな「映画 ミッション・インポシブル」でもそうですが、現実世界、存在すれば盗めます。たった一人の人間しかその盗めた目のパスワードを知らなくてもです。その人間自体を見方にすれば盗めますから。
情報セキュリティに話を戻すと、
通常、セキュリティを組む時は盗まれる前提で構築してゆきます。
「セキュリティが高い=業務に支障が出やすい」ため、そのバランスが重要です。ぶっちゃけ話として、盗まれる覚悟をするわけです。
ですが、覚悟だけでは話なりませんので、「セキュリティ・ポリシー」なるものを作成します。
【セキュリティ・ポリシーとは?】
・何を守っているか?
・どこを守っているか?
・どうやって守っているか?
・漏えい手段
・漏えいの危険性
・漏えい時の被害内容
・漏えい時の被害額
・漏えい時の対処方法
こういったものを列挙まとめたものです。
大企業ならば、絶対必須でましてドコモさんなら無いわけないはずですが・・・
これが無かったんでしょうねぇー
これが無い=事前に漏えいシュミレーションができていない ⇒ アウト!
という具合ですね。
仮にセキュリティポリシーがあった場合、かなり手抜きのセキュリティ・ポリシーと言わざる得ません。
【最後にセキュリティ・ポリシーの役割】
漏えいを防ぐものではありません。危険性や対処をまとめたものです。
繰り返しますが、盗めないものはありません。
盗まれる覚悟で、必死に守るべきです。