PCウイルスの人間感染
| 定義 | PC由来の情報刺激が、行動・認知・身体反応の形で「感染」に準じた連鎖を生むとされる概念 |
|---|---|
| 起源とされる時期 | 1998年〜2001年ごろに複数の事例報告が同時多発したとされる |
| 主な媒介 | 記憶媒体の往復、誤クリック連鎖、職場の端末運用、ソーシャルエンジニアリング |
| 影響 | 心理的症状、業務停止、家族内の二次波及など(とされる) |
| 研究領域 | インシデント対応学、ヒューマンファクター論、情報疫学(など) |
| 主要論点 | ウイルス本体が人体に「侵入」するのか、行動連鎖が「感染」と見なされるのか(とされる) |
| 関連語 | 行動感染、認知ワーム、媒介者症候群 |
PCウイルスの人間感染(PCウイルスのにんげんかんせん)は、内で活動するはずのが、人的媒介や行動変容を通じて人間側に「感染症状に類する現象」を起こすとされる概念である。1990年代末から散発的な報告が現れ、でも行政文書・研究会資料に引用されたとされる[1]。
概要[編集]
は、技術的には「人体に対する直接感染」を前提にしない立場も存在する一方で、社会心理・行動変容を通じて、あたかも感染症のような広がり方をする現象として語られてきた概念である。
その成立は、1990年代末の運用が「端末のトラブル」から「組織の習慣」へと影響を移したことに対応するとされる。特に、社内の端末管理が“個人の癖”に強く依存していた企業では、同じ感染手口でも発症パターンが人によって変動し、医療っぽい言い回しが定着したと説明される[2]。
Wikipedia的にまとめるなら、「PCウイルスが人間に感染する」という表現は比喩として扱うのが自然であるが、当時はあえて比喩と断定せず、「感染」概念を疫学モデルに接続した研究が複数走った。そのため、行政文書や研修資料には、症状、潜伏期間、二次感染率に相当する指標が“それらしく”記載されたとされる[3]。
用語の揺れ[編集]
報告書ではのほかに、、などの語が併記された。語の使い分けは厳密でなく、編集の段階で「わかりやすさ」を優先した結果、研究会によって定義が微妙にずれたとされる[4]。
指標化の試み[編集]
初期のころは、感染成立を「人体のウイルス検出」ではなく、一定期間内の行動変化(例:不要なクリックの増加、標準手順からの逸脱)で判定しようとした。結果として、現場では“データがあるように見える”が“因果が曖昧”な指標が増え、後年の批判の火種になったとされる[5]。
歴史[編集]
前史:端末トラブルが「家庭問題」に見えた時代[編集]
2000年ごろ、系の研修で「家庭に持ち帰るPC」と「職場の手順逸脱」の関係が強調されたとされる。そこで紹介された“事例”の中に、感染後に家族全員が同じメールを開封し、結果として同じルートの事故が再生産されたケースがあった。
この現象は当初、単なる操作ミスとして説明されていたが、研修補助資料の作成担当が「二次波及」を感染症の語で言い換えたことで、という単語が一気に独り歩きしたとされる。記録の残る会議では、潜伏期間に相当する“誤クリック再発までの平均日数”が、なぜか端末の掃除頻度と相関すると報告され、現場の納得感が高まったという[6]。
転機:1999年「渋谷夜間会合」事件と疫学モデルの採用[編集]
最初期の象徴的事件として、1999年ので行われた夜間会合「システム談話会」が挙げられる。参加者が持ち込んだノートPCが同日に複数台で同種の挙動を示し、後日、感染影響が個人の指差し確認癖にまで及んだとされた。
事件後、参加者の一人である情報倫理学者の(しのみや ほたる あかね)が、行動変化を感染曲線として扱う「情報疫学」モデルを提案したとされる。彼女はモデルの仮定に“誤クリックの疲労係数”を導入し、係数の算出に「マウスを握り直す回数」を採用した。計測方法は過剰に具体的で、同業者は半信半疑だったが、なぜか会合参加者の記録用紙にその欄が用意されていたという[7]。
ただし後年、同モデルが統計処理上の前提を満たしていないとの指摘もあり、「感染」概念を安易に疫学へ寄せた結果として誤解を招いたとする見解が出たとされる[8]。
制度化:自治体・企業研修に「潜伏」と「二次感染率」が入った[編集]
2001年から2004年にかけ、企業の研修カリキュラムに「潜伏期シナリオ」や「二次感染率の説明」が導入されたとされる。具体的には、同じIT担当が翌月に再発したケースを“二次感染率”として整理し、研修資料では「再発は平均37.6日後に起こる」といった細かい数字がそのまま残ったとされる[9]。
この数字は、実データの集計というより、研修スライドが締切前に“それっぽい値”へ丸められた可能性が後から議論された。しかし当時は、表現が医学っぽいほど参加者が危機感を持つと期待されたため、訂正されなかったともされる。こうしてという言葉は、専門家の間では揺れながらも、社会の側の理解言語として定着した[10]。
社会的影響[編集]
の議論が広まると、情報セキュリティ対策は「パッチ適用」だけではなく、「人の運用」へ踏み込む必要があるという主張が強くなった。具体的には、端末の更新履歴よりも、個人の確認行動や“迷い時間”が危険度を左右すると説明され、行動観察を含む研修が増えたとされる。
一方で、この枠組みは現場の管理を加速させた。例えば、の某公共施設では、研修の最後に「疑わしい表示を見てから退出するまでの時間」を測定し、退出が遅い人を“低潜伏者”として扱ったという記録が残る。さらに、その施設は翌年度に測定項目を増やし、「退出までの一時離席回数が2回未満の職員は上書き禁止」といった規則まで整備されたとされる[11]。
ただし、社会的影響の本質は技術的防御ではなく、責任の所在を“感染した人”へ寄せてしまう危険にあったとされる。結果として、事故の当事者は単にミスをしたのではなく“感染の媒介者だった”という物語で語られがちになり、組織内の心理的安全性が損なわれたとの指摘が後から出ている[12]。
職場運用の変化[編集]
端末の共有ルールが見直され、「ログイン直前の読み上げ確認」や「クリック前の口頭宣言」など、儀式に近い運用が増えたとされる。これらは感染症の“予防接種”に比喩され、導入効果を示すために“宣言率”という指標が使われた[13]。
医療への波及(風評)[編集]
一部では、PCウイルスの人間感染がやと結び付けて語られた。医師が直接PCを診るわけではないが、患者の語りに“端末が体に入ってくる感覚”が含まれる場合、情報的事象が身体症状として再解釈されることがあるとして議論されたとされる。ただし因果関係は立証されていないとされた[14]。
批判と論争[編集]
PCウイルスの人間感染には、技術者・疫学者・心理職の間で大きな論争がある。中心は、「感染」という語の範囲が広すぎる点である。すなわち、行動連鎖を感染と呼ぶことにより、本人の意志や環境要因が見えなくなり、単純な道徳化につながるのではないかという批判が出た。
また、指標化の問題も指摘された。研修資料で用いられた「二次感染率」について、ある統計担当者が“計算式が公開されていない”と報告したため、信頼性が揺らいだとされる。たとえば、関連のシンポジウムでは「二次感染率=共有台数×退出遅延×記憶保持係数」と説明されたが、係数の根拠が“過去の現場感覚”に留まっていたという[15]。
さらに、最初期の象徴的事件の再現実験が不十分だったことも問題視された。具体的には、のラボで“クリック誘発装置”に似た装置が用いられたと報じられたが、測定ログの改変が疑われ、委員会が調査報告書を差し替えたという噂が残っている。この部分は真偽が確定していないが、少なくとも議論の空気を象徴する出来事として引用されることがある[16]。
結果として、近年では「PCウイルスが人体へ侵入する」ことを示すものではなく、むしろ“組織が誤作動を連鎖させる仕組み”を感染に見立てたメタファーとして扱うべきだ、という折衷的な理解が増えたとされる[17]。
責任論のゆがみ[編集]
感染の物語が広まると、当事者は“感染したから仕方ない”と同時に“媒介者だったから責められる”という矛盾した扱いを受けることがあると指摘された。特に人事評価と結び付けられた場合、健康情報のように扱われる危険があったとされる[18]。
用語の技術的適合性[編集]
コンピュータウイルスの定義を厳密に適用すると、人間側に同じ意味での“自己増殖物”が成立する保証がないとされる。一方で、比喩としての価値を認める立場では、感染の比喩は行動設計に役立つと主張された[19]。
脚注[編集]
関連項目[編集]
脚注
- ^ 篠宮蛍 朱音「情報疫学モデルの導入と“人間感染”概念の再定義」『コンピュータ疫学研究所紀要』第12巻第3号 pp.41-63, 2003.
- ^ 楠見朔夜「端末運用と行動連鎖:潜伏期シナリオの効果測定」『日本セキュリティ学会論文集』Vol.28 No.1 pp.112-139, 2005.
- ^ Dr. Evelyn R. March「Metaphors of Infection in Incident Response Training」『Journal of Human Cyber Risk』Vol.7 No.2 pp.201-228, 2006.
- ^ 鈴原緋紗「クリック疲労係数と二次波及の推定」『ヒューマンファクター・レビュー』第4巻第2号 pp.10-27, 2004.
- ^ 田崎蒼一「渋谷夜間会合資料の再検討:37.6日という数字」『情報史研究』第19巻第4号 pp.77-96, 2007.
- ^ Müller, Jonas「Behavioral Contagion Without Biological Transfer: A Framework Proposal」『International Symposium on Security Cognition』Vol.3 pp.55-78, 2008.
- ^ 高津凛音「共有台数に基づく“二次感染率”の疑似定式化」『行政ITガバナンス研究』第9巻第1号 pp.33-58, 2010.
- ^ 伊達玲央「儀式化したセキュリティ運用と宣言率の統計」『組織心理と技術』Vol.15 No.3 pp.149-171, 2012.
- ^ 松嵜真央「“PCウイルスの人間感染”は比喩か:証拠の構造分析」『計算社会科学』第6巻第2号 pp.1-25, 2014.
- ^ Amano, Shota「The 37.6-Day Rule Revisited: A Mostly-True Narrative」『Proceedings of the Workshop on Mythical Metrics』pp.5-17, 2016.
外部リンク
- 感染概念アーカイブ
- 情報疫学ハンドブック
- 端末儀式運用の事例集
- 二次波及計算機(仮)
- ヒューマンファクターとセキュリティ研修