エンタープライズ:ニュース 2003/12/04 09:29:00 更新


牧野弁護士曰く「表に出すことでセキュリティを確保できる」

「Security Day」の午後の基調講演に、弁護士の牧野二郎氏が登場。法的な見地から、セキュリティ運用、管理をめぐるいくつかの問題についてコメントした。

 日本ネットワークセキュリティ協会(JNSA)およびJPCERT コーディネーションセンター(JPCERT/CC)が開催した「Security Day」の午後の基調講演に、弁護士の牧野二郎氏が登場。法的な見地から、セキュリティ運用、管理をめぐるいくつかの問題についてコメントした。

 牧野氏がまず取り上げたのが、企業による従業員の電子メールやWeb閲覧の監視についてである。同氏は、あくまで公私混同は避けるべきであり、事業活動とプライバシーは切り分けすべきと前置きしたうえで、電子メール監視を実施する際の留意点について説明した。すなわち、「規則をきちっと定めなければならない」(同氏)。

 電子メール監視を行うならば、対象は会社のメールアドレスとし、実施は就業時間中、またその方法も正当なものによらなければならないなど、いくつか基本のラインはある。だが最も大きなポイントは、「“監視を行ってもいいですよ、でもルールは作りましょう”ということ。“誰がどういう経緯で見るのか”を定め、それを従業員全員に知らしめておくことだ」(牧野氏)。その意味では、「メールは適宜監視する」旨を就業規則の中に盛り込むのも有効という。

 Webページを含むネットワークアクセスの監視についても、ルールの制定と周囲というぽいとは同様だ。ただ、「どのWebを見て、どんな言葉を検索しているか」といった事柄にまで立ち入り、監視するとなると、いわば人の頭の中までのぞき見ることになる。職場の中の不信感を醸成する恐れもあることから、業務報告や日報、その他の外形的な形でチェックするほうがいいのでは、と同氏は述べている。

 牧野氏はまた、個人情報保護法を背景にしたデータの取り扱いにも触れている。中でも同氏が強調したのは「アクセスログ」の扱いだ。

 「単にログを取られるだけならば、“当然予想される使い方”の範疇内だが、これをマーケティング調査やアクセス分析などに使うとなると、本来の目的とは別の事業活動に使われる、ということになる」(牧野氏)。そう考えると、来年の個人情報保護法施行前には、“このアクセスログはこういった目的に利用します”といった内容がプライバシーポリシーの中に盛り込まれるようになると同氏は予測する。事実、かつてはなんの断りもなく発行されていたcookieが、今では多くのサイトでcookieの使用、およびその目的について説明されるようになっている。

 ちなみに個人情報保護法に関連しては、「黙って個人情報を収集し、使うから問題になる。目的を示していれば違法行為ではない」(牧野氏)。その意味では、“収集した個人情報はあらゆる目的で自由に使います”と明示してしまえば、問題はないという(無論、ユーザーが同意すればの話だが)。重要なのは、どういった目的で利用するのかをきちんとすべて書いておくことだと牧野氏は述べた。

 最後に同氏は、裁判などでの証拠として活用することを目的にデータを保存しておく「データ・フォレンジック」と、逆に保管すべきではない情報を確実に抹消する「データ・リテンション」という2つの考え方にも触れた。

 前者は、具体的には後から上書きできない形でデータを保存し、タイムスタンプをつけて保管するといったやり方を採ることで、「相手方の弁護士から“そのデジタルデータは偽造ではないか”と指摘されたときに、“とんでもない”と反論できる仕組みを作っておく」(牧野氏)ことだ。このとき、日誌、日報やメモをとっておくことも大事という。「日報などは、後から改ざんするのが難しく、(裁判官にとって)信用力はとても高い」(同氏)。

 一方データ・リテンションは、「本来取ってはならない個人情報を取ってしまうこともある。そうしたものはどんどん、確実に消していく必要がある」(同氏)。この際に、例えば「取得後×日間で消去する」など、消去に関するルールを立てておくこともポイントという。

 牧野氏の講演からは、「説明/情報公開と同意」の重要性を汲み取ることができそうだ。同氏は冒頭、次のように語っている。「今までのセキュリティは“クローズする”という考え方だった。しかしこれに加え、今後はオープンに公開し、表に出すことでセキュリティを確保するという考え方も必要だ」

 同氏は、さまざまな情報を公開し、企業の透明性を高めることによって、使う側との信頼関係ができるだけでなく、リスクの共有、切り分けも可能になると述べている。さらに、クローズドなセキュリティだけでなくオープンなセキュリティに取り組むことで、それを社内のルールに反映し、きちんとコントロールしていくことができるとも指摘している。

関連リンク
▼Internet Week 2003

[高橋睦美,ITmedia]