仕事でセキュリティに携わっていると、たまの休みにはのんびりしたいもの。しかしシルバーウィークは筆者にセキュリティの疑問を抱かせる機会になってしまった。そのエピソードを紹介しよう。
最近は多忙から土日も全くない休めない状態だったが、シルバーウィークに墓参りと敬老の日を兼ねて久しぶりに実家を訪ねることができた。今回は日常の仕事からやや離れて、この長期休暇に感じたセキュリティの素朴な疑問をご紹介したい。
9月19日のこと、90歳近い父親から「国勢調査が来てインターネット入力が便利だと調査員に言われた。でもPCにすら触ったことがないから、お前がやってくれ」と頼まれた。
今回の国勢調査からインターネットでも入力できるようになった。ただ多忙なあまりに、この休み中に記入しようと筆者の分の封筒を実家に持参し、一緒に入力すればと考えたのだ。確かに90歳近いお年寄りにインターネットで入力させるには無理だと思う。高齢化社会を迎えたという割には、こういう調査で「お年寄りに優しい」配慮が乏しいのは残念である。Webサイトを見ても「お役所仕事」と思わんばかりの内容だ。
さて記入しようと筆者と実家の分の2つの封筒を見て、まずはびっくりした。2つともきちんと封がされていない。しかも、インターネット入力に使う「調査対象者ID」と「パスワード」にも目隠しがされないまま多数の印刷物の中に紛れていたのである。個人情報を扱う書類としてはいかがなものか。
調査員の数は約70万人といわれる。この“臨時調査員”に対する教育は半日程度の講習会だけであり、モラルやセキュリティの意識がどの程度のものなのかは全く分からない。調査員を引き受けたとする人のネットの書き込みでは「町内会で仕方なく受けた」「報酬がいい!」といったものも多く、不安が残る。
回答する側にとっては、セキュリティが担保されていない。“調査員”という一般の方々でもその気になれば、最低50件ほどの「ID」と「パスワード」を簡単にメモできてしまうだろう。そもそも、「ID」と「パスワード」を1つの書面上に大きく記載することは、「パスワード」の本来の意味から反しているということをお役所はご理解されているのだろうか。
パスワードの基本は、第三者に(しかもIDとセットで)容易に知られないようにしなければならないはずだ。「初期パスワードだから(仕方ない)」と言い訳をする前に少し工夫して、「調査対象者ID」と「パスワード」の通知には圧着シール式のハガキを使うとか、その部分だけは目隠しシールで覆うようにするとか、幾らでも個人情報に配慮するやり方があると思う。そうしなかったのは「費用がかかる」ということなのだろうか。それなら、せめて封筒にきちんと封をすべきではないか。
「調査員は信用できない」といったことではない。調査員が回答者から信用を得られるように教育することや、万一の場合に「あなたが漏えいしましたね」ときちんと判別できる仕組みも用意すべきではないかと感じる。
Copyright © ITmedia, Inc. All Rights Reserved.