情報漏えいは法制でもシステムでも防げない!?やらされ感だけでは防げない! プラス志向の情報漏洩対策 第2回(1/2 ページ)

個人保護法の施行を受けて、情報漏えい事件の「傾向」は変わったようだ。だが、根本的な解決には至っていない。それは何故なのか。どこに原因があるのだろうか――。

» 2006年12月22日 07時00分 公開
[アイティセレクト編集部]

穴だらけの法整備だった

 日本ネットワークセキュリティ協会(JNSA)がした「2005年度情報セキュリティインシデントに関する調査報告書_情報漏えいによる被害想定と考察」を見る限り、「個人情報保護に関する法律」(通称「個人情報保護法」。以下、「保護法」とする)の施行以降、大規模な事件は減少しているようだ(12月20日の記事参照)。小さな事件が積極的に公表されるようになり、健全さがアピールされている感もある。法制による効果は、多かれ少なかれあったといっても過言ではないだろう。

 だが、制度をクリアしたからといって、それが十分な漏えい対策になっているかというと、甚だ疑問だ。漏れる危険性はまだ十分にはらんでいる。そればかりか、法を守ったという以外、何も残っていないといっていい。対策に投じた見返りが何もプラスになっていないのである。

 完璧でない要因の一つは、保護法自体に落とし穴があることだ。

 「そもそも、『個人情報』という粗っぽい概念で、単一のルールはつくれない。カルテ、議事録、名刺など個人情報にはいろいろある。従って、それぞれに対してルールを設定する必要がある」と指摘するのは、新潟大学法学部(情報学)教授の鈴木正朝氏だ。つまり、保護法は業種横断で、非常に抽象度の高いものだというのである。そのため、「保護法は『個人情報』が何であるかをしっかりと定めておらず、無茶な立法だった」と、鈴木氏は手厳しい。

 あるべき姿は、個人情報をカテゴライズし、それぞれで個別立法することだったという。業務ごとに規制を設けないと、守れるものにはならないというのである。

 とはいえ、鈴木氏自身は「個人的には『ショック療法』として保護法を評価している」。なぜなら、個別立法の手段はベストでありながら実現するのが難しく、いつまでも具現化しないという事情があるため、基本原則という包括規制で全業種を縛るしかないのが実情だったからだ。

 であれば当然、構造上の副作用が生じる。規制の適用が緩い分野もあれば、強すぎる業界もある。要するに、保護法は完璧ではなく、それに準じるだけでは極めて拙い情報保護になってしまうということである。

システム構築にも問題

 だからといって、法に頼らず、個々人のモラルに頼るというのはだめな考え方だと、鈴木氏は主張する。「『情報モラル』というのは、最低の言葉。例えて言えば、『大和魂』とほとんど一緒。一切解決にならない。結局分からないから、あたかも対策を立てているかのように、そのキーワードで逃げている」と。

 「情報管理はカネの問題。カネをかけないと絶対に無理だ。竹やりで戦争できないのと同じで、結局軍艦を幾つそろえるかで決まる」(鈴木氏)

 情報管理の問題として「ノウハウがない」というものがあるが、ノウハウという管理手法の大半は、情報化投資を伴う施策によって築かれる。というのは、現代の情報はデジタル化されているため、フィジカルに対応できないからだ。媒体を使ってやり取りする以上、システム管理はどうしても必要になるというのである。

 ただ、そのシステム構築がまだ追いついていないという。2005年までニフティの法務部長を務めていたこともあり、IT業界にも精通している鈴木氏はこう語る。

 「技術者側で要求仕様を固められていないことがある。情報管理ツールがどうあるべきかを分かっていないため、現に商品が出ていない。漏えい対策の製品ばかりだ。漏えい対策は、保護法の規定の一部にすぎない。実際には、利用目的のための管理、開示・変更・利用停止、苦情処理の対応といったことを含めた全体が義務として課されている。その義務に対応する社内の仕組みづくりをサポートするシステム、あるいはパッケージがつくられていない」

 鈴木氏によると、会計ソフトなどは、税理士/会計士とプログラマー/SEが一体となって開発しているため、そうしたことがきちんとできているという。消費税法に対応していない会計ソフトなんてあり得ない。同様に考えると、情報管理ソフトが保護法などの要求仕様に対応していないまま製品化されているとしたら、それは不完全品だといえる。税法を勉強せずに会計ソフトを売るようなものなのである。だが悲しいことに、情報管理の世界ではそれが実態のようだ。個々の技術者の分かる範囲に対応した漏えい対策ソフトにすぎないものばかりだというのである。

 「プログラマーだけでそういうツールをつくろうとすること自体が間違いだ」と鈴木氏。その道のプロフェッショナルと組んでつくるということを、ベンダーは経営レベルで考えるべきだと提言する。

(※)2005年1〜12月の間に新聞やネットなどの報道によって公表された、国内における個人情報の漏えい事件の調査分析結果。2006年7月31日に発表された。02年度から始められ、これが4回目となる。ちなみに、この調査では「1〜12月」を「年度」としている。
[本文に戻る]

       1|2 次のページへ

Copyright© 2010 ITmedia, Inc. All Rights Reserved.

注目のテーマ