2015年6月3日水曜日

弁護士からみた情報流出問題への対処・対策(一般向け)



H270603記載

   

1  はじめに

割りとITに強いといわれているサニー・サイド法律事務所です。今回は、今話題の情報流出問題について考えます。名づけて、


弁護士からみた情報流出問題への対処・対策(一般向け)


です。厳密にいうと、ネットワークの問題にも詳しくなる必要はありますが、技術的な対処の問題はとりあえず置いて、(できるかぎり)法律的な観点からの防止策等を書こうとおもいます。


 

2  古典的な対策と情報流出への対処

情報流出問題としては、古典的にもいわれていることがあります。たとえば、情報に接する者への制限、具体的には、パスワードを設定したり、むやみに記憶媒体を持ち込ませないなどです。昔あった、ネットにはつなげないという極端な対策もそうでしょうか。

しかし、企業(公共団体、事業主も含む、以下同じ)の保有する情報が膨大になればなるほど、これらの古典的な対策は厳密にすることが極めて困難となっています。中小企業では、そもそも設備に金もかかるし、保有する情報が膨大すぎて、厳密な対策はとりようもないという状況もあります。

今回(<2015-06-03 Wed>記載)の日本年金機構でも、この古典的対策を守られていなかった!旨の論調が多かったとおもいました。

しかし、いくら対策をしても、防ぎようがない、との認識が現在では必要かとおもいます。技術の進歩で完璧なセキュリティができたとしても技術は、反対側、すわなち流出をさせようとする側も発展します。


それでは?・・・

3  情報は流出されるもの!である。

まず、大前提としては、「情報は流出されるものである」と考えて対策をとる必要があります。もちろん、古典的な対策も必要ですが、いずれにしても限界があり、完璧に防ぐということを考えていたらきりがありません。


「情報は流出されるものである」


基本的にこの考えのもとで対策をする必要があります。

4 流出してもいい情報と、流出してはならない情報

企業が保有する情報には、「流出してもいい情報」と「流出してはならない情報」があります。たとえば、前者は、プライバシー度が高い情報や、公開されていない技術の情報が典型的です。後者は、たとえば、技術でいえば、公開技術情報などです。情報流出問題の最大の対策は、
  • 「流出してもいい情報」と「流出してはならない情報」の仕分け   
  • 極力「流出してもいい情報」への転化

となります。

4.1  たとえば、プライバシー度が高い情報

情報流出問題への対処・対策として、もっともよいのは、プライバシー度が高い情報などの「流出してはならない」情報を極力持たないようにすることです。お客様がある以上、0にはできませんが、大量に保有していればいるほど、情報流出のときに、大きな問題となります。

ただ、当たり前ですが、どうしてもプライバシー度が高い情報を保有する必要があります。


この場合の対処方法ですが、たとえば、アンケートなどでも、名前・住所などの個人特定情報が組み合わさった時、プライバシー度は急激に高くなります。今回の日本年金機構の問題の詳細は、まだわかりませんが、たとえば、プライバシー度が高い情報というのも情報の集約によってなることが多いです。たとえば、年金加入番号の流出でも、少なくとも一般人では、年金加入番号を手に入れても、それだけでは、住所も氏名も生年月日特定できないというのであれば、あまり情報としては価値がありません。流出問題で、大きな問題となるのは、流出した番号が、住所・氏名等との個人情報が結びついているということが問題となります。


アンケートならば、名前・住所など個人との特定情報との結びつきを外せば、単に、ビッグデータ的な統計情報となります。個人と結びつきがないと意味が無いという考えを極力排除し、公開されても痛くない情報に切り替えていく。

これが、基本的な対処といえます。 

4.2  たとえば、技術情報

技術情報としては、特許の活用が、1つの対処となります。秘密な技術を出来る限り特許化すれば、公開情報となります。もちろん、特許を使う上で最も必要なものは、ノウハウとか秘訣などが必要です。これこそが、「流出してはならない情報」です。

極力、「流出してもいい情報」に変えていく、そして、仕分けされた「流出してはならない情報」については、慎重な対処をする。
ここでも同じことがいえます。

5  逆説的な対策

ここでは、逆説的な対策も書きます。

5.1  Windowsは、使わない。

よく言われていることですが、Windowsは、世界でもっとも使われているOSです。そもそもの構造上の脆弱性は置いても、情報を流出させる側としても、Windows向けのものを作ったほうが応用が効きます。メールに添付等されたウィルスの問題も、ほとんどがWindows向けです。

そういう意味では、Windowsを使わないというのは、(特に中小企業では)情報流出問題では大きな対策となるはずです。もっともよいのは、Linuxでしょうが、中途半端にやるとよけいダメということもあり、Macを標準にしてしまうとか。実は、結構有用な方法です。


 

5.2  階層型フォルダシステムは作らない。

細かい点かもしれませんが、情報流出させる側としては、なるだけ有用な情報を流出させたいと思うはずです。プログラム的には、このコンピュータから全てというのも簡単ですが、これは膨大な情報をターゲットにする場合は大変です。まず考えつく方法としては、フォルダを特定して、このフォルダ内の子フォルダ内もすべてというやり方です。
私は、あまり階層型をわざわざ構築しませんが、結構、きちんと整理して、なになには、なになにフォルダと決めていることも多い。逆に整理されすぎているからこそ、情報流出はやりやすいという一面があります。


検索システムが優秀(ハードの問題ももちろんあります)となって、実は、どこにあっても探すのは、そんなに手間でもありません。あえて、階層型フォルダシステムは作らない。こういうのもいいかもしれません。

5.3  クラウドを利用する

これも1つの逆説的な言い方ですが、昔は、クラウドから漏れたらどうするんだ!と言われることも多かったですが、社内のサーバーが絶対かといえば、まったくそうではありません。昔の古典的なスパイ映画みたいに、忍び込んでコピーという方法も、現実的なサーバー保有のほうが危険性はあります。


昔は、社内だけの現実的なサーバーがあったほうがいいとされてきましたが、膨大な情報を一人だけで抱え込むことは、前にも書きましたが、危険性は増大します。情報の分散化という意味も込めて、クラウドの利用は大いに考えてもよいとおもいます。

6  現在の法律では極めて困難なものもある。

情報流出問題は、情報を流出した場合に犯人を特定するということは、民事的には極めて困難です。やはり公的権力を使う必要が出てきます(具体的には、刑事告訴・被害届提出)。


身近な法律的な問題としては、

事前の問題として

「情報流出した場合に、対処できる情報か」を法的観点から予防する。顧問弁護士的業務や予防法務業務が重要です。

事後の問題として、

情報流出した際の事実把握の方法、謝罪会見等情報流出のやり方等が問題となり、じつは、これも日頃の問題といえましょう。


……………………………………………………