★☆★JNSAメールマガジン 第50号 2014.12.12.☆★☆

こんにちは
JNSAメールマガジン 第50号 をお届けします。

今年も残りわずかとなってきました。 JNSAでは毎年12月末にその年のセキュリティ十大ニュースを発表しています。今年も早速検討が始まっています。今年はどんなニュースが十位に入るのでしょう?お楽しみに!

さて、今回のリレーコラムは株式会社インターネットイニシアティブサービスオペレーション本部 齋藤 衛様より、「パーソナルデータと組織のセキュリティ」というテーマでご寄稿いただきました。

【連載リレーコラム(後編)】
「パーソナルデータと組織のセキュリティ」
(株式会社インターネットイニシアティブ サービスオペレーション本部 セキュリティ情報統括室 齋藤 衛)

今年は個人情報保護法改正に向けて、パーソナルデータの取り扱いに関する具体的な議論が数多く行われた年となりました。その議論の多くは、利活用推進の視点で、個人のプライバシー侵害への配慮などを中心に行われていますが、ここではパーソナルデータが企業などの組織に対して、どのようなセキュリティへの影響を及ぼすかについて考えます。

パーソナルデータの利活用とは、本質的には個人が同意に基づいてその私的活動に関する情報をサービス事業者に提供することです。情報提供の見返りとして、ポイントなどの金銭価値のある対価を受け取ったり、付加価値のついたサービスの提供を受けたりします。たとえば、カーナビの経路選択の機能において、利用者は自分の位置情報を提供するかわりに、他の利用者の位置情報を基にした、一般の道路交通情報よりも精度の高い移動時間の見積もりや、渋滞迂回に関する情報の提供を受けることができます。

一方で、従業員などの活動を外部に秘密にしておきたい企業などの組織のセキュリティと、個人のパーソナルデータの提供には親和性がなく、個人の利益と判断でパーソナルデータを第三者に提供することは、その個人の属する組織のセキュリティ上のリスクとなります。特に、スマートフォンなどのモバイル装置の利用時にはこの傾向が顕著です。これは、組織から装置が支給される場合でもBYODでも同様ですし、組織のセキュリティ方針とは関係なく、個人が持ち歩く私物のモバイル装置についても同様の情報が取得されます。たとえば、日常的に外回りをする企業の営業職が個人的に提供する位置情報には、所属する企業や顧客の所在地が含まれてしまい、それは企業の立場では秘密にしておきたい情報です。しかし、この情報を提供しなければ、路線案内や道路交通情報など、速やかな移動のため付加価値サービスを受けることはできません。

また、昨年末にオンライン変換機能を持つ日本語入力環境による情報漏えいの疑いが話題となりました。一般報道においては、外国企業製の特定の実装に関し、説明不足や同意の取り方の問題などが指摘されましたが、オンライン変換機能そのものは国内製品を含めた複数の実装で提供されていますし、利用者個人による入力情報と変換情報をパーソナルデータとして提供することで、変換精度を上げる正当なサービスであると考えることができます。しかし、組織内の活動としての文章作成時に、入力した文字列が外部に送信されることは、組織のセキュリティを確保する立場では到底容認できるものではありません。くわえて、この事例におけるセキュリティ対策上の課題として、数多くの組織において個人の同意に基づいてこの機能が利用されていたこと、そしてその状況に比較的長期にわたって気付くことができなかったことが挙げられます。

これらの例に限らず、一部のクラウド型サービスの先例から、通信履歴や通信内容など、組織にとって機微な情報が含まれる可能性が高いパーソナルデータの利活用についても検討されています。また、これまで行われたパーソナルデータに関する議論は、個人のリスクを低減するための議論が主であり、複数の個人が属する組織とパーソナルデータの関係については整理されたとはいえません。個人を特定または識別されないように十分に配慮されたパーソナルデータの利用においても、組織に属する多くの個人に関する情報が継続的に提供されることで、所属する組織に関する特定もしくは識別は可能であると考えたほうがよいでしょう。このため、現時点では、組織自ら判断して先手を打ち、自衛することが得策だと考えられます。

パーソナルデータが広範に利活用される世界で組織の情報を保護するためには、今後新しい判断基準が必要となると考えられます。従来個人として行っていた公私の切り分けを、組織が、組織の立場と責任において判断してあげることが必要でしょう。具体的には、従業員が個別に利用するサービスについて棚卸しを行い、組織のセキュリティを守る立場で、提供するパーソナルデータが組織の活動にとってどのような意味を持つのかを検討し、問題ない範囲かどうか、提供先が信頼できるかどうか見極め、提供の可否を判断することです。さらに、私的に利用する装置で取得されるパーソナルデータについては、組織の内部統制として律することが困難であり、私物のモバイル装置は仕事に携行させないなど、別の対策を検討する必要があります。

パーソナルデータを利活用するサービスについては、来年以降の個人情報保護法の改正とその施行のタイミングで、多くのサービス提供者による新規参入と、既存のサービスの規約の見直し、新しい規約に基づく同意の取り直しが行われると予想されます。このタイミングは組織の自衛のための良い機会だと考えられます。将来IoTの利用促進などによりパーソナルデータを取得される機会が増えることを考慮すると、この機会は組織のセキュリティの立場からパーソナルデータの利活用を判断するためのベースラインを構築する、最初で最後のチャンスとなるかもしれません。


#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】
★社会活動部会では「2014振り返りライトニングトーク大忘年会」を開催します。
  日時:2014年12月15日(月)16:00〜20:00
  場所:スタンダード会議室 虎ノ門スクエア2階
     東京都港区虎ノ門1-15-10 名和ビル2階
     http://spaceuse.net/toranomon_square/2f_room/


【事務局からの連絡、お知らせ】
★1月20日(火)にベルサール神田にてJNSA主催シンポジウム「NSF2015」ならびに新年賀詞交歓会を開催します。
 「NSF2015」の申込受付は近日中に開始予定です。

★九州・福岡で「情報セキュリティセミナー」を開催します。

  日時:2015年1月27日(火)13時30分〜17時(13時開場)
  場所:TKP博多駅前シティセンター ホールC
     (福岡市博多区博多駅前3-2-1日本生命博多駅前ビル8F)

 プログラム・お申込みは下記URLをご覧ください。
 http://www.jnsa.org/seminar/2015/0127/

★「せきゅり亭」12月のお題は「安心」「安全」「セキュリティ」。
 今月を持ちまして、せきゅり亭は一旦お休みとさせていただきます。
 みなさまからのご投稿、お待ちしています。
 http://www.jnsa.org/update/senryu.html

★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
jnsa-mail

*************************************
JNSAメールマガジン 第50号 
発信日:2014年12月12日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.