尼崎市USBメモリーの紛失事案に学ぶ、個人情報流出を防止する技術とは?
2022年6月21日に尼崎市にて発生した個人情報を含むUSBメモリーの紛失事案が大きな話題を集めています。紛失したUSBメモリは見つかったとはいえ尼崎市46万人の全市民の個人情報を含んでいたこと、そのような膨大な情報を簡単に持ち出せる状態であったこと、それを取り扱っていた依頼者や作業者などの管理体制にも議論が広がっています。
このような事案が発生すると、企業や団体、組織、作業者等に批判が集まります。しかし、尼崎市で起きた事案は日本の国内の他組織でも十分に起き得るのではないかと筆者は考えます。
改正された個人情報保護法と個人情報を保護する技術について解説します。
■改正された個人情報保護法
今回の尼崎市の事案において大きな批判が集まっている理由として「無断でUSBメモリを利用していたこと」「そのUSBメモリを保持したまま泥酔するまで飲酒したこと」があげられるでしょう。
尼崎市としてはこのような行為に対して「契約外の行為」としていますが尼崎市としても「本市が受託者に対し、持ち出す際に許可を得るべき旨を徹底していなかった」とし尼崎市側にも落ち度があった点を認めています。
委託側の尼崎市、受託側の業者担当者双方の間で「個人情報を厳重に扱う必要がある」という認識が欠如していたようにもうかがえます。
個人情報はどのように企業等は扱うべきでしょうか?企業が個人情報を管理するための「個人情報保護法」というものがあり、個人情報保護法は三年に一度改正されています。
今年、個人情報保護法は改正年度に該当し罰則が強化されており企業により厳格な管理を求めています。簡単に改正のポイントを記載します。
・努力義務から義務へ
昨年までは個人情報が漏洩しても企業は個人情報保護委員会への報告は「努力義務」でした。また、本人への通知は法律上では「義務」と定められていませんでした。
しかし、今年の改正後では個人の権利利益の侵害のおそれが大きい事態については個人情報保護委員会への報告が「義務化」されています。同様に本人への通知も「義務化」されています。
・法律違反に対する罰則の強化
「個人情報保護法」は法律ですから、違反すると刑罰や罰金を支払う必要があります。改正前の個人情報保護法では委員会からの命令への違反に対して行為者は6か月以下の懲役、又は30万円以下の罰金と定義されていました。
しかし、改正後はこれが引き上げられ行為者は一年以下の懲役、又は100万円以下の罰金へと罰則が強化されました。
法人に至っては30万円以下の罰金であったものが、一億円以下の罰金と大幅に引き上げられています。
■個人情報を保護する技術
個人情報を保護する技術には多々ありますが、残念ながら多くの日本国内企業で導入が進んでいるとは言い難い状況です。「そこまで予算を回せない」という判断に至ることが多いのですが、導入が進まない理由の一つに日本人は「ルールを良く守る国柄」で担当者のモラルで守られているのも原因の一つと推測しています。
しかし、ルールを策定してもそれを守れるかは「人次第」です。「人に依存した仕組み」である限り、いつかは問題が発生するリスクは消えません。個人情報をシステムで保護する技術について解説します。
・DLP(Data Loss Prevention)
機密情報漏洩対策として検討される技術にDLPと呼ばれる技術が存在します。DLPはファイルの中身を検閲します。例えばエクセルやワード、メモ帳といったファイルの中身を検閲しそこに個人情報と推測されるような氏名や住所といったものから、マイナンバーやクレジットカード情報等の重要な情報が含まれていないかを検出します。
更に検出されたファイルを削除したり、管理フォルダに移動させてセキュリティ担当者が内容を精査したり、保存した行為者に対してポリシー違反であることを通知するといった機能も備えているDLPソリューションも存在します。
DLPの具体的な動作例を記載します。DLPの技術自体は十年以上前から存在していましたが、大半のDLPソリューションはパソコンやサーバ上に保存されたデータのみを対象としていることが多く、最近のクラウド利用が当たり前となったシステムに包括的に対応することが出来ていません。
こういったクラウドが当たり前の時代のDLPソリューションとして注目を集めているのがSSE(Security Service Edge)で実行するDLPです。在宅勤務者等も対象として自宅や会社のパソコンで作成されたファイルがクラウドに保管されるまでの全ての場所でDLPを実行することが出来ます。
特にこの分野で最も包括的なDLPを実行可能なSSEとしてSkyhigh Security社のSSEソリューションがありますが、Skyhigh SSEを利用すればUSBメモリへの書き出しを禁止することも可能なので今回の尼崎市で起きたような「無断でUSBに保存される」といった行為を未然に禁止することが可能です。
・DRM (Digital Rights Management)
DLPを利用することで「機密情報」に該当する情報の持ち出しを防止することが出来ます。では、次に考えるのは「正式な業務として持ち出された情報を安全に管理する」仕組みです。
これを実現するがDRMと呼ばれる技術となります。
DRMソリューションを導入することで、「許可を得てUSBメモリに記録して持ち出したが、鞄を盗難されてしまった」ような「完全な被害者」となった場合にもデータを保護することが可能になります。
DRMで保護されたファイルを開こうとする際に「ネットワーク」等への接続が要求され、もし管理者側が既に「盗難にあった」ことを知っていた場合には、データ閲覧を禁止することが可能です。
また、「盗難者がデータを閲覧したか?」についても管理者側から何時、何分に閲覧されていたかを確認することが可能です。
もし、尼崎市の個人情報を含んだファイルがDRMで保護されていたなら万が一データを持ち出されてたとしても、USBを拾った人は閲覧することが出来ず、閲覧されたとしてもアクセスされた日時を「USBが見つからなくても」確認することが出来たでしょう。
■尼崎市への批判を見て、個人情報保護施策を見直すべき
大きな話題と批判を集めている尼崎市。しかし、尼崎市のような事案は他の組織では発生しないものでしょうか?
前述した通り日本人は基本的に「モラルが高く」、機密情報の漏洩対策は「人のモラル」にまかせている企業が多いのが実態と感じます。
今回紹介したような機密情報を保護する技術は決して新しいものではなく、セキュリティに詳しい技術者であれば知っていて当然の技術です。しかし、日本ではそれほど導入が進んでいないのも事実です。皆さん口を揃えて「うちの社員は大丈夫」と言われるのが実情です。
今年から個人情報保護法が改正されており、行為者や法人に対しても罰則は強化されています。尼崎市に集まる「批判」を見て他人事として捉えるのではなく、「自社は大丈夫だろうか?」と現行の個人情報保護法と照らしてみて自社の対策は十分なレベルに達しているかを検討することを推奨します。