PART2 情報はなぜ漏えいするのか?:「性悪説」による機密・個人情報漏えい対策 第1部(2/4 ページ)
売るからには買い手が存在する。まずは、個人情報の買い手について考えてみよう。
インターネットの検索エンジンで特定のキーワードを入力すると、簡単に名簿販売業者のWebサイトを見つけ出すことができる。そうしたWebサイトで扱っていると記述されている名簿の例を表1に示す。このような名簿が家庭の本棚に並んでいるのは普通のことだ。つまり、紙媒体として物理的に存在するということになる。
| 特殊名簿 | 適齢名簿 | 地域名簿 |
| PTA名簿 | 幼児名簿 | 小学生名簿 |
| 中学生名簿 | 高校生名簿 | 中学生同窓会名簿 |
| 高校生同窓会名簿 | 短大・大学同窓会名簿 | 民間企業名簿 |
| 公務員名簿 | 学会名簿 | 資格者名簿 |
| 県人会名簿 | 教職員録名簿協会名簿 | 医師会名簿 |
| 自治会名簿 | 老人クラブ名簿 | ゴルフ会員名簿 |
| 商工会名簿 | 企業名簿 | ― |
昔から、こうした紙ベースの名簿が業者に売られてしまったというケースは多い。よくあるのは、カネに困って会社の名簿を名簿業者に売却したというもの。それも、複数の名簿業者に対して売却したというものである。動機はどうあれ、「情報を売られてしまった側」が、そうした情報を利用されているのを確認することは非常に難しい。
さて、ここまで「紙媒体」の話をしてきたのには理由がある。「高度情報化社会」と呼ばれて久しい現代では、コンピュータによる情報管理と操作が、日常茶飯事にどこでも行われている。紙にすれば数千枚のリストになってしまうデータから必要な情報だけを簡単に取り出すことができる利便性は、利用者にとってはこのうえないものだ。
そして、ネットワークという強力な通信手段によって、情報はデータとしてやり取りされている。ということは、物理的なモノではなく、電子メールが情報を運んでくれることになる。つまり、たった1通の電子メールを送信するだけで、どんな情報でも他者に渡すことができるのだ。
今やこれは、「当たり前」のことである。しかし、その「当たり前」の行為で、利用者のメールアドレスが漏えいしてしまったというケースがあるのもまた事実である。「当たり前」のことになっている情報化のもたらした利便性が、冒頭に述べた「ああ、またか」を生んでしまっているのではないだろうか。
さらに、個人情報は「1件につきいくら」の単価で売却されるという。ということは、この便利このうえない手段を使ってたくさんの個人情報を引き出せれば……と考えてしまう輩が現れないだろうか。
コンピュータによる顧客情報管理の実態
コンピュータを使って顧客の氏名や住所、電話番号、年齢などを管理することは一般的になっている。また、営業職の人であれば、顧客を訪問、あるいは商品のプロモーションを行ううえで、それらは重要な要素となる。特に、個人向けの営業を行っているのであればなおさらだ。
コンピュータによる管理のメリットは、検索のしやすさと、ヒモづけのしやすさである。検索条件に「30代男性」を入れれば、そのリストが出力される。しかも、「印刷」ボタンつきで。あるいは、「ファイルで出力」などというボタンまである。
このように、コンピュータを使った効率化推進は業種を問わず行われている。ただ、効率化は進んだが、「誰が」「いつ」「どこで」「何を」「どれくらい」「どうしたか」という情報までコンピュータが教えてくれるようにはなっていない。よって、「もし、何かが起こっても、手がかりはまったくない」といったことが起こるのである。
これは、当然といえば当然である。一般的に、業務用アプリケーション開発ではそのような機能を実装させることは、まったくないといってよい。コストと納期重視のアプリケーション開発では、第一目標である「効率化」を達成させる機能以外は、切り捨てられていってしまうのである。
加えて、個人情報を操作できるコンピュータの「物理的な」管理も怪しい。顧客情報入りのノートPCが盗難されたり、紛失するといったケースは少なくない。また、社内のど真ん中に顧客情報を管理しているコンピュータが設置され、誰でも触れる状態になっているようなケースもある。しかも、そのバックアップを行ったテープは、社員のカギなし引き出しの中にあることも珍しくない。
しかし筆者は、それらが軽率であると考えているわけではない。仕事の同僚は、仲間であり、つらいときには支え合ってきているという意識があるからこそ、「この管理でも大丈夫」と思えるのは当たり前である。情熱的にプロジェクトを進めて、至上の達成感を味わおうとしている当人たちにとって、それを「セキュリティが足りない」と第三者にいわれるのは、このうえなく腹立たしいことだ。
また、業務の効率をあげれば会社の業績に直結するのは明らかである。セキュリティを向上させるとき、必ずこの重要な要素とのトレードオフの関係に見舞われる。
会社風土や業績を変えることなく、プロアクティブなセキュリティ対策を行うためには、どれくらいのことを行えばよいのか? これは大きな課題である。利便性を高めることでセキュリティを損なうのであれば、その危険性を明確にしたうえで、適切な方法を選択しなければならない。現代は、「事故前提型」の社会である。したがって、許容できるリスクと、そうでないリスクをきちんと明確にしておくことが重要である。なぜならば、あらゆるセキュリティ対策を施すことは現実的ではない。必ず漏れが生じるうえ、無限のコストを消費するからだ。
小さなことでよい。たとえば、今まで何も教えてくれなかったアプリケーションが、「何が起こった」だけでも教えてくれるようになれば、リスク許容の判断に役立てられるかもしれない。そうしたことが、どれだけリスクを緩和し、他方でデメリットが生じるのかを検討するだけでも、大きな違いがあるはずだ。
さて次に、ケーススタディにより、昨今の個人情報漏えいについて考えていこう。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと
- Google、ゼロデイ攻撃を分析した最新レポートを公開 97件の攻撃から見えたこと
- 生成AIは便利だが“リスクだらけ”? 上手に使いこなすために必要なこと
ITmediaはアイティメディア株式会社の登録商標です。