情報漏洩防止関連のネタが続いているが、勘弁してくれ。こっちも一生懸命なのだ。社会問題ネタ、目次へ
前回はヤマダ電機に対して無料のコンサルティングをしてあげたようなものだったが、今回は、かのYahooBB、じゃなかったソフトバンクBBよ。紙幣を見事な手さばきで数えている人を見て思った。まるで銀行員だ。いつも情報漏洩防止のことを考えている私は、いきなりの連想。
銀行業務でお客様の認証に指紋を使うようになると(海外の銀行ではVIP向けサービスとしてあるらしい)、指紋データを銀行が保有していることになるから、銀行がその気になれば特定のお札について誰から受け取ったものか分かるんだよなあ。・・・まてよ。ということはその紙幣を外に出してしまったら「個人情報漏洩」になるじゃないか。嫌なことに気がついてしまった。
つまりこういうことだ。個人を識別できる情報なら個人情報である。この識別できる情報の中には「他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む」とされている。容易に照合することができる、というのは「例えば通常の作業範囲において、個人情報データベース等にアクセスし、照合することができる状態」とある。
だから、認証する指紋のデータベースにアクセスできる人間にとっては「指紋の付いた紙幣」は個人情報になりうる。
ここで辛いのは「照合」であり「検索」ではないこと。検索ならば指紋データを一方向関数で暗号化していれば「検索不能」と言い張れる。「照合」だとそうは言えない。ここまで来ると個人情報と判別されるかどうかが内部に限ったものとなるので、漏洩したからといって個人情報かどうか外部からは判断できない。だから指紋がついているものが外部に出たからと言って即個人情報流出と判断されるべきものではない。しかし君子危うきに近寄らず。
なわけで、みなさん。指紋は認証に使わないようにしましょう。最悪の場合、指紋の付いたものを外部に出すと「個人情報漏洩」と言われる可能性があります。事務用品については、誰かの指紋が付いているかもしれなくても、捨てるときに徹底クリーニングすればいいと割り切ることはできるかもしれません。しかし郵便物など外部に出す書類について、いちいち指紋をふき取らなければならないとなればどうでしょう。当然お札や硬貨も使うときにはクリーニングしなければなりません。
これはあまりに手間です。従って、個人の生体認証は指紋のようにあちこちにベタベタと残ってしまうものではなく、静脈パターンとか虹彩とか、特殊な機器を使わないと読みとれないものを使ったほうが賢明ということになりました。これがなんでソフトバンクBBと関係するのかというと、大量の個人情報を漏洩させてしまったかの会社は、対策として高セキュリティエリアの入室に「指紋認証」を導入したからです。
私は考えました。騒がれた以上は、指紋データの保管にまで気を遣っていなければならないはず。少なくとも「容易に照合」されないためには、照合可能な他の情報とは別に保管しておかねばならないはず。つまりフツーは個人情報データを保管していると考えられるところの高セキュリティエリアの外部に指紋データを保管しておかないとまずいはず。
それって保管が甘いってことじゃないか?まあ高セキュリティエリアにも色々あって指紋データの保管エリアは静脈パターンで入室許可者を認証するという風にやり方を変えているとすると評価できるのだけど。果たしてどうやっているのかなあ。そう思ってソフトバンクBBのセキュリティ施策に関するWebページを覗きました。(特に[社内システム管理体制強化]のところ。)
やっているわけがないだろうなあ、と思っていましたが、ここまでひどいとは思いませんでした。セキュリティをポーズだと思っている。
それは、宣伝するのも信頼回復のためには大事です。今の時代、なんでもオープンにしないと、という風潮があるのも分かります。オープンにして、それでも耐えうるセキュリティ対策をとらないと意味がない、という意見それ自体には説得力があります。
しかし、ここがセキュリティオペレーションセンターであると誰にでも分かるような目立つ看板をつけて、かつそこの写真を、働いている人込みでホームページに載っけるとは、どういう神経しているのでしょうか。(働いている人はナイフを突きつけられても情報を漏らさないし、ましてや買収されるなんてことはありえない、という訓練と待遇を受けているのでしょうか。)
ヤマダ電機なら「末端まで教育が行き届いていませんでした。いただいたご意見を教訓として、あと半年で全社員・パート・アルバイトに徹底します」と答えてくれたのでも話が通じないことはない(ちなみに未だに返事はない)。しかし、ソフトバンクBBはあれだけの事件を起こし、再発防止のためにきちんと対策をとっていますと言っている。それにもかかわらず基本的なこと(平成7年通産省告示158号「情報システム安全対策基準」の「設置基準」イ.設置環境−1.立地・配置の(8)に抵触しそうな項目有り)を外しているというのは、おい。大丈夫か?じゃなかった、大丈夫なはずないけどどうすんの?各セキュリティソリューション提供会社、チャンスです。自社ソリューションを売り込みに行きましょう。少なくとも指紋認証システムはリプレースしてくれるはずです。