「安全よりも安心が肝心」、宇治市の個人情報漏洩事故に学んだ木村氏

宇治市の住民情報データ流出事件の現場で対処に当たった木村氏は、経験を元に現在の情報セキュリティのあり方に疑問を投げかけている。

[堀哲也，ITmedia]

　「情報セキュリティという言葉は目的が不明確だ」――。財団法人関西情報・産業活性化センター IDC事業部担当部長の木村修二氏がSymantecの開催したプレスブリーフィングで、現在の情報セキュリティのあり方に疑問を投げかかけた。

　同氏は、1999年の宇治市で発覚した22万人の住民情報データ流出事件で当事者の現場責任者を務めた経験を持つ。これをもとに主張するのは、何のための情報セキュリティなのか？　という点。自治体にとっては危険性を負担する市民、企業にとっては顧客の権利を守るための情報セキュリティであるべきはずではないか、という。

　情報主体を中心に考えれば、「安全」というよりも、情報を提供する情報主体が「安心」できる情報セキュリティが必要だと話す。安全ばかりを優先して秘匿してしまうこと以上に、市民が理解できる対策をできるだけ公開し、情報主体が監視でき、信頼して情報提供ができるようにするべきだという。しかも「コンピュータの専門家でないと理解できないものでは意味がない。（誰にでも）理解できるような言葉で語らなければ」。

　この視点で考えれば、“セキュリティを強化すれば不便になる。バランスが必要だ”との議論は、危険性を負担する情報主体よりも、利便性を共有する情報保有者のことを考えたものになっており、「切り口がおかしい」ということになってくる、と木村氏。

　そのほかにもおかしな考え方を指摘した。例えば、“セキュリティを強化しなければ事故が起こる”というもの。この2つには相関関係はないと話す。事故が起こるのは攻撃者側に左右されるわけで、ホームセキュリティでいえば、ピッキング対策やバールでのこじ開けに対処しても、ショベルカーで壊してしまおうと考えていたものには対処しようがない。「この言葉は脅迫でしかない」（木村氏）。常に脅威は無限で未知数だから、相関関係を考えることは初めからできないというわけだ。

　セキュリティの専門家などが簡単に口にしまっている「セキュリティには100％はない」という言葉にも問題がある。これも、100％がないのなら情報化なんか進めてはいけないはずだという。また、セキュリティに100％はないにも関わらず、多くの企業は情報漏洩はないとうたって、個人情報を集めてしまっている。それよりも「これだけ対策したと公開して、情報主体が預けても問題ないと判断するなら、預かるようにすればよい」と木村氏。

　また、対策側にありがちなこととして、セキュリティを人の問題として考えて、研修によって意識改革させようとすること。これもあまり意味がないという。全員の意識改革ができなければ効果がないためだが、「研修で意識改革ができないことは既にいろんな研修をやってきて知っているはず。にも関わらず、「誰も研修に意味はないとは口に出しては言わない」。それに情報主体に対して職員（社員）を信用しろ、という理論には無理がある。組織内部では通用しても、外部の情報提供者にとっては、まったく説得力を持たない。

　その結果、木村氏が宇治市で取った対策は、無限の脅威に対する対策ではなく、情報が流出する場所を特定して、それも人に頼らず物理的・技術的セキュリティで「できない」ようにしてしまうこと。通信インフラレベルでのセキュリティ。アクセス制御を施した上で、情報の情報が流出する個所となる媒体やネットワークへの書き出しを禁じることを優先しているという。