JNSA「セキュリティしんだん」
| « (22)「クレジットカード決済のセキュリティについて考える」 〜クレジットカードセキュリティのスタンダード(PCIDSS)〜 » |
(24)「ワッセナーアレンジメント再交渉とトランプ政権のサイバーセキュリティ政策」 » |
(23)「個人情報の高度な暗号化について考える」(2017年1月30日)
■はじめに
改正個人情報保護法の全面施行が2017年5月30日に迫り、全面施行の司令塔ともいうべき個人情報保護委員会からも、様々なガイドライン案などが公表されています。
それらのガイドライン案の一つに、「個人データの漏えい等の事案が発生した場合等の対応について(案)」[1][2]があり、2016年12月08日よりパブリックコメントが募集されています。
このガイドライン案には「高度な暗号化がされた個人データの漏えい」についての記述があります。この案では、個人データの漏えい等の事案において個人情報保護委員会等への報告を要しない場合として「漏えい等事案に係る個人データ又は加工方法等情報について高度な暗号化等の秘匿化がされている場合」と明記されています。しかしながら、何を持って「高度な暗号化」とするかについては、改正以前の2005年の個人情報保護法施行の頃から議論されているものの、明らかにはなっていないところがあります。こうした中、適切な技術的保護措置としての「高度な暗号化」の意味するところが明確になれば、「高度な暗号化」に対応したソリューションの開発が促され、また、そうしたソリューションが利用される方向に向かうと考えられます。これは、結果として個人情報保護の本来の目標である実体的なプライバシー侵害を減少させる方向に向かうことになります。そのため、ここで必要となるのは「高度な暗号化」に関する何らかの技術的なガイドラインの存在になります。
この「高度な暗号化がされた個人データ」に関連した議論と動向は、2012年9月発行のJNSA Press第34号に「暗号技術による個人情報保護の制度と技術の動向」(以後、JNSA Press記事)[3]として執筆しており、記事内の結論として、以下の3つを挙げました。
・ 個人情報保護法に関連する技術ガイドラインの統合
・ 暗号技術における鍵管理技術の重要性の周知と施策
・ 情報化社会における技術と制度の整合
残念ながら、この記事を執筆してから現在に至るまで、状況はあまり変わっているようには見受けられません。しかし、改正個人情報保護法の全面施行によりガイドラインに関する権限が一元化され、各主務大臣が保有している個人情報保護法に関する勧告・命令等の権限が個人情報保護委員会に一元化されることになりました。これを機に個人情報保護法に関連する技術ガイドラインの統合と、その一環としての「高度な暗号化」に関するガイドラインの作成等も検討されるべきではないでしょうか。
ここでは、以上を踏まえて、また、これまでの経緯も含め以下の意見を述べます。
・ 暗号化された個人データの取り扱いは別に定義するべき
・ 暗号化鍵破棄による個人データ削除を制度的にも明確にするべき
・ 暗号化された個人データのアクセス制御の考え方を明確にするべき
・ 業界を横断する技術ガイドラインを作成する体制が検討されるべき
■暗号化された個人データの取り扱いは別に定義するべき
以前から「暗号化した個人データは個人情報なのか?」という議論がありました。暗号化された個人データが非個人情報だと解釈するならば、多くの情報漏えいは「事案」とはなりません。しかしながら改正法においても、暗号化した個人データも個人情報と見なすべきでしょう。いわゆる個人情報の「提供元基準説」を取る限り、暗号化した個人データであっても、暗号化鍵を保持している人または暗号化鍵にアクセス権限のある人は、暗号化した個人データから元の個人データを復元できるためです。元のデータに復号できる限りは、個人情報と見なすのが妥当かと考えられ、この妥当性については改正法でも変わらないと考えられます。
では、個人データを暗号化して管理することは、意味がないのでしょうか。当然、個人情報に関する安全管理措置として大いに意味があります。これまでの議論で欠けていたのは、高度な暗号化がされた個人データに関連する、個人情報の漏洩定義、アクセス制御の定義等ではないでしょうか。JNSA Press記事では、米国のHIPPAにおける事例を紹介していますが、「暗号化した個人データ」は、保護された状態、アクセス制御が出来ているという解釈のようです。
これまで「暗号化した個人データは個人情報なのか?」という議論に拘り過ぎたこと自体が、あるべき技術的な個人情報保護の方向性を見出せていなかった理由の一つかもれません。
■暗号化鍵破棄による個人データ削除を制度的にも明確にするべき
高度な暗号化の高度の意味は、「JNSA Press記事」にも書いたとおり、概ね「暗号アルゴリズム」、「暗号モジュールの実装」、「暗号化に利用する鍵の管理」が高度であることを意味すると考えられます。
暗号化した個人データと暗号化鍵が別に管理されている場合、暗号化した個人データのみが第3者に渡ったとしても、暗号化鍵が安全に保管されている限り、個人データは暗号化鍵によりアクセス制御がなされている状態と解釈されるべきではないでしょうか。更には、暗号化鍵の破棄を行う事により、第3者に渡った(暗号化した)個人データを削除したとみなすべきではないでしょうか。この点を明確にするべきだと考えられます。
このような暗号化鍵の破棄によるデータの削除の仕組みは、2014年に発行された、米国NISTのSP800-88 rev.1 Guidelines for Media Sanitization[4]において、Cryptographic Eraseとして明記されています。ちなみに、データ保存の方法が、磁気ディスク等から、SSDなどへ広がっており、手元にある保存媒体からクラウド上へ(暗号化されつつ自動的に)保存される事も多くなる中、何をもって個人情報を削除した事とするかは、それなりに複雑な問題になります。
個人データには、当然のことながらデータとしてのライフサイクルがあり、最終的には削除が要求され、削除されていない個人データは安全管理措置義務が課せられることになります。ところが、この個人情報の安全管理措置の中でも非常に重要なデータ削除に関して、米国におけるSP800-88 rev.1に対応する技術ガイドラインが、日本には存在しないという問題もあります。そのような事情もあり、Cryptographic Eraseのようなデータ削除の方法が、法的に適合しているか判断できないのが現在の状況であり、これは「高度な暗号化」の意味や有用性を理解する妨げにもなっていると考えられます。
■暗号化された個人データのアクセス制御の考え方を明確にするべき
USBメモリのような持ち運びができるデバイスに関して、有用な安全管理措置として、耐タンパー性のあるハードウェアによる暗号化鍵の保護を施したフルディスク暗号化(ここでは、ハードウェア暗号化と称します)があります。ハードウェア暗号化は、多くのモバイルデバイスでも採用されており、技術ガイドラインとしては米国NISTの SP800-111 Guide to Storage Encryption Technologies for End user
Devices[5] があり、また、非常によく検討されたプロテクションプロファイル[6]も存在します。
ハードウェア暗号化を実装したモバイルデバイスには、暗号化鍵格納領域にログインしない限り復号できない仕組みが提供されており、またログインパスワードの照合をハードウェア暗号化ディスク自体ないしハードウェア暗号化ディスクと信頼関係があるセキュアデバイスのみに限定することにより、ログイン機構に対するオフラインでのブルートフォース攻撃・辞書攻撃に対して耐性を持ちます。
これに関しては、ログイン機構のロック解除方法等のバックドアの存在を指摘されたり、FBIがアップル等のベンダーに対して、ロック解除方法等のバックドアの存在自体を求めるといった動きもあります[7]。これは、逆説的ですが、ハードウェア暗号化デバイスによるデータの暗号化が、それだけ完成度が高いとも考えられます。
このような状況において、個人データが格納されたハードウェア暗号化デバイスの物理的な紛失を直ちに「個人データ漏えい(事案)」と見做すのかという疑問が発生します。例え、デバイスが、第3者に渡ったとしても、デバイスへのログインのパスワード等の技術的保護措置によるアクセス制御が適切になされているならば、格納された個人データは漏えいしていないという解釈もあるのではないでしょうか。
インターネットに接続されたサイトにおいて、弱いパスワードでアクセス制御がなされた個人データは、残念ながら多く存在すると思われる中、何が「個人データ漏えい(事案)」に当たるかを適切に提示した上で、個人データの適切な技術的保護措置について考える必要があるでしょう。
■業界を横断する技術ガイドラインを作成する体制が検討されるべき
JNSA Press記事での結論として「(1) 個人情報保護 法に関連する技術ガイドラインの統合」があります。個人情報保護法に関する勧告・命令等の権限が個人情報保護委員会に一元化されたことで、統合されたガイドラインは作りやすくなったと言えます。
しかし、深い専門性が必要な技術ガイドラインに関しても、個人情報保護委員会が作成することが可能なのか、また、そもそも個人情報保護委員会が作成するべきなのかという疑問が残ります。
技術ガイドラインは技術を中心に担当している組織が作成し、そのガイドラインを個人情報保護委員会が作成するレポートで参照することにより、何らかのお墨付きを与えるといった枠組みが必要ではないでしょうか。
業界、官庁を横断した、強制力のある技術ガイドラインは、誰が作成できるのか、その能力及び権限に着目した場合、日本には対応する機関がないという問題に直面します。米国においては、FISMA(2002 年施行の連邦情報セキュリティマネジメント法)に基づく法的 責務を果たす一環としてNIST(アメリカ国立標準技術研究所)がNISTSP800-88 などのSP800シリーズを作成していますが、日本にはそのような制度も機関もありません。
個人情報保護委員会が設立されたことにより、個人情報保護法に関する勧告・命令等の権限も一元化できる訳ですから、技術的な側面でも一元化できる何らかの方策が検討されるべきしょう。
■おわりに
JNSA Press記事では、最後の結論の一つとして「情報化社会における技術と制度の整合」を挙げましたが、今回の改正個人情報法でも、この技術と制度の整合に大変な労力が掛かっており、さらに解決するべき課題も多いのではないでしょうか。
個人情報保護法が改正に向かったきっかけの1つに、パーソナルデータに関する検討会・技術検討ワーキンググループ報告書[8]がありますが、このWGの主査を務められた国立情報学研究所佐藤一郎教授は、こうした時代の背景を「技術と制度が不可分になる時代」[9]と表現されています。
「高度な暗号化がされた個人データ」に関しても、「高度な暗号化」に関するある程度強制力のある技術ガイドラインが作成されるべきなのですが、法制度と技術の双方からのアプローチが必要な故に、技術ガイドラインの作成が置き去りにされてきた面があるかと思います。このような課題を置き去りすることは、デジタル社会への本質的な移行を阻む結果になりかねません。改正個人情報法をきっかけとして、このような課題の解決が期待されます。
■参考
[1] 個人情報保護委員会、“個人データの漏えい等の事案が発生した場合等の対応について(案)”、
平成28年12月6日 第26回 個人情報保護委員会 資料1−1 (2016)
http://www.ppc.go.jp/files/pdf/281206_siryou1-1.pdf
[2] 日経コンピュータ、“個人情報保護委、高度に暗号化した個人データ漏洩は報告不要とする対応案公表”(2016)
http://itpro.nikkeibp.co.jp/atcl/news/16/120903690/?rt=nocnt
[3]JNSA、“暗号技術による個人情報保護の制度と技術の動向”(2012)
https://www.jnsa.org/jnsapress/vol34/3_kikou.pdf
[4] NIST Special Publication 800-88 Revision 1, “Guidelines for Media Sanitization” (2014)
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf
[5] NIST Special Publication 800-111, “Guide to Storage Encryption Technologies for End user Devices” (2007)
http://csrc.nist.gov/publications/nistpubs/800-111/SP800-111.pdf
[6] IPA、“USB フラッシュドライブ用のプロテクションプロファイル”(2011)
https://www.ipa.go.jp/files/000015355.pdf
[7] 日本経済新聞、“アップル VS FBI 米司法、割れる判断 NY地裁は保護
解除認めず 長期化は必至”(2016)
http://www.nikkei.com/article/DGKKASGM01H60_R00C16A3FF1000/
[8] パーソナルデータに関する検討会、“技術検討ワーキンググループ報告書”
(2013)
http://www.kantei.go.jp/jp/singi/it2/pd/dai5/siryou2-1.pdf
[9] 佐藤一郎、“技術と制度が不可分になる時代”、DIAMOND online (2014)
http://diamond.jp/articles/-/54978
| « (22)「クレジットカード決済のセキュリティについて考える」 〜クレジットカードセキュリティのスタンダード(PCIDSS)〜 » |
(24)「ワッセナーアレンジメント再交渉とトランプ政権のサイバーセキュリティ政策」 » |
