データ暗号化から考えるイノベーションとセキュリティの両立：ビッグデータ利活用と問題解決のいま（1/3 ページ）

世界各国でビッグデータ利活用によるイノベーションが本格化する一方、サイバー攻撃による大規模情報漏えい事案が後を絶たない。利便性と安全性を両立させる対策として注目されるデータ暗号化の動向を探る。

[笹原英司，ITmedia]

サイバー攻撃被害で高まる保存データ暗号化へのニーズ

　本連載の第16回記事および第17回記事で、米国のサイバー攻撃に起因する情報漏えい事案を取り上げた。その後も大規模な情報漏えい事案が相次ぎ発覚している。

　例えば2015年6月、米国連邦政府の人事管理局（OPM）が、外部からの不正アクセスにより、約400万人の職員および元職員の個人データが流出した可能性があると発表した（関連記事）。個人データには名前、生年月日、自宅住所、社会保障番号などが含まれている。

　同年7月には、カリフォルニア州の医療機関UCLA Health Systemsが、サイバー攻撃により、個人データ約450万件が危険に晒された可能性があると発表した（関連リリース）。個人データには名前、住所、生年月日、社会保障番号、医療データ（症状、処方薬、手順、検査結果等）などが含まれている。

UCLA Health Systemsの報道発表

　この2つの事案に共通するのは、調査から過去に遡って不正アクセスが見つかった点と、保存データが暗号化されていなかった点だ。例えば、UCLA事案のような医療の場合、「医療保険の携行性と責任に関する法律」（通称HIPAA）で規定された、「保護対象保健情報（PHI）」に関するインシデント発覚時の監督当局（保健福祉省）への報告義務や保存データの暗号化／復号といった問題が関わってくる。

　その後9月には、ニューヨーク州の医療保険者Excellus BlueCross BlueShieldが、サイバー攻撃によって、個人データ約1050万件が危険に晒された可能性があると発表した（関連リリース）。個人データには名前、生年月日、社会保障番号、郵送先住所、電話番号、会員ID番号、金融口座情報、請求情報などが含まれている。

　米国では医療保険者もHIPAAの適用対象であり、データ暗号化は経営に関わる問題だ。同社の場合、保存データを暗号化していたが、ハッカーは暗号化を解除する権限を持った管理コントロールにアクセスしていたという。

　これら実際に起きたサイバー攻撃事案をみると、単にデータの暗号化機能を実装しただけでは不十分であり、暗号化データをやり取りする際に利用する鍵の管理や、鍵を管理する特権ユーザーのアカウント管理など、プラスアルファのセキュリティ対策も必要になることが分かる。