日本ヒューレット・パッカードの佐藤慶浩氏

韓国企業の日本進出を支援するiPark Tokyoが主催した「第21回 Korea Techセミナー」で、日本ヒューレット・パッカードの佐藤慶浩氏が、企業における個人情報保護と情報セキュリティ対策について講演した。佐藤氏は、日本HPの個人情報保護対策室チーフ・プライバシーマネージャであるとともに、内閣官房情報セキュリティセンターの内閣参事官補佐も務める、情報セキュリティの第一人者の1人だ。

佐藤氏はまず、個人情報の対策には3つの観点がある、という。(1)コンプライアンス(順法)としての個人情報保護法対策(2)社会問題対応としての個人情報漏えい対策(3)お客様からの信頼獲得としての個人情報管理対策--の3点だ。

今年4月から施行された個人情報保護法でいわれる「個人情報」は、「プライバシー」とは異なる概念だが、個人情報保護法を遵守していて情報が漏えいした場合でも、プライバシーの侵害と思われたら、民法第709条(不法行為による損害賠償)の損害賠償請求の対象になりえる、という。個人情報保護法には、主務大臣の勧告や罰則規定が盛り込まれているが、通常、裁判で損害賠償請求が行われるのはこの第709条に基づいて行われ、「わざわざ個人情報保護法に基づいて損害賠償を請求する弁護士はいない」と佐藤氏。

つまり、個人情報保護法を遵守していたからといって、それだけでは個人情報に関するコンプライアンスにはならず、同法に加え関連する法令なども遵守しなければならない、というわけだ。関連するものとして佐藤氏は、迷惑メール防止法や各種の指針・ガイドラインを挙げ、個人情報保護法を遵守するだけでは意味がない、と指摘する。「客の立場に立ち、自分がその立場でいやだと思ったことはやらない」(佐藤氏)ことでコンプライアンスの問題は回避できる、という。

「社会問題対応としての個人情報漏えい対策」に関しては、法令違反の有無にかかわらず、「漏えい防止対策はやらなければならない」と、同氏。個人情報保護法の第20条では、個人情報を安全に守るよう明記されている一方、具体的な内容については、各所管省庁が定めるガイドラインに従うようになっている。たとえば経済産業省のガイドラインは、「情報セキュリティマネジメントシステム(ISMS)をひな形にしたもの」(佐藤氏)で、組織的・人的・物理的・技術的な安全管理措置を講じることを定めているという。

佐藤氏は、その中でも特に組織的・技術的な安全管理措置を重視。組織的安全管理措置では、取得・入手、移送・送信、利用・加工、保管・バックアップ、消去・廃棄という一連の「情報のライフサイクル」を考えて措置を講じるべきだという。また、技術的安全管理措置では、「情報セキュリティのアーキテクチャの王道」(同)である「5A」(Authentication・Access Control・Administration・Auditing・Assurance)に配慮すべきとする。

個人情報漏えい防止の基本原理は、「なるべく保有しない、なるべく参照させない」ことだと佐藤氏はいう。情報漏えいは内部犯行によるものも多く、対策としては、「性善説を前提にして、性悪説を想定する」ことが重要だと佐藤氏は指摘する。

外部からの不正アクセスについては、「技術で戦うしかない」(同)が、内部のアクセス権限を持つ人物が情報を漏えいする場合、時として誤操作や過失といった悪意がないこともあり、これについては誤操作を軽減する設計にする、啓発・教育・訓練を実施することで防ぐことができる。

一方で、情報へのアクセス権限を持つ人が、それを悪用して情報を漏えいするような悪意のある場合は、運用面・技術面での対策には限界がある、という。許可する権限を最小化したり、監視による抑止効果を期待したり、未知のアクセスを検出するといった対策で対処しつつ、社内の人間を「信頼している」という立場は重要だと指摘する。信頼していないという立場で対策を行うと、信頼されなかった社員のモチベーションが下がってしまう。「悪意を持って情報を漏えいする社員はいない。もしいるなら、すぐにクビにすればいい」(同)のだから、現在の内部の人間はわざと漏えいはしない、という性善説に立って対策を行い、最終的な追加対策として性悪説に基づく対策を行えばいいのだそうだ。

3点目の「お客様からの信頼獲得としての個人情報管理対策」について、佐藤氏は、まず、90年代の「バウンダリ・セキュリティ」が安全でなくなっている、と指摘。バウンダリ・セキュリティモデルは、ファイアウオールなどを駆使して外部と内部を遮断した、いわば門を閉じたセキュリティだった。その門が堅固だった結果、内部のセキュリティは少々ずさんだったという。

たとえば、顧客からの電話の問い合わせに対して、サポートの人間が社内のデータベースにアクセスをして情報を伝える、という行為も、その情報そのものが、本来、サポートの人間がアクセスできないものである場合もある。門は滅多に破られないが、内部では容易にアクセスできてしまうセキュリティは安全ではない、というわけだ。

電話での問い合わせに応じるぐらいなら、その顧客にIDを発行して、認証した上で情報にアクセスさせた方が安全、と佐藤氏。つまり「門を開けた方が安全性は高くなる」(同)わけで、それを前提とした情報セキュリティを考えなければならないという。

情報セキュリティ対策には、すでに実施された対策とこれから実施しようとしている対策がある。もし、それらの対策でも守りきれない攻撃や問題が生じたら、それはあきらめ、一定のリスクを受け入れつつ、受け入れられないリスクは防ぐ、という目標設定が行われているという。しかし、セキュリティ対策が進み、現状のセキュリティレベルが向上したとして、企業はさらに新たなゴールを設定してセキュリティレベルを向上させようとするか、といえば、レベルは上がらない、と佐藤氏は指摘する。

ITが進展することで、利用者からはその便利さをうまく享受できるように求められ、企業のセキュリティレベルはむしろ低下する、と佐藤氏。現状、企業はリスクを抱えながらもビジネスチャンスを得ようとしているわけで、インターネットに接続をしなければインターネットの脅威は排除できるものの、それは不可能であるから、今後、インターネットからのビジネスチャンスを得ようとすると、セキュリティレベルはさらに下がるという。

佐藤氏は、個人情報保護法には2つの「注意義務」があると指摘する。「情報の取得・利用などにおける注意義務」と、「安全管理措置」の2点だ。この安全管理措置に対する投資を優先させようとする場合が多いが、情報の利用における注意義務対策を行うことで、情報セキュリティの問題が解決される部分もあると佐藤氏。

企業のデータ活用における問題点としては、データが散在している、現場ユーザーのデータ活用への理解不足、データの共有ができていないなどが挙げられているが、それらの問題の一部は、「情報セキュリティの問題と合致する」(同)。つまり、データ活用のための対策を行えば、セキュリティも解決するという。

また、セキュリティの強化は利便性とのトレードオフもあり、それを強いるのは難しい面もあるが、データ活用を促し、業務を効率化することは社員にも喜ばれることであり、「利用促進を前面に出して対策を打ち出すことで、セキュリティが解決することもある」と述べ、佐藤氏は講演を締めくくった。