「個人情報が漏洩した場合,被害者になるのは情報を提供した『情報主体』。情報を収集した『情報保有者』は加害者になる。ところが,情報セキュリティは情報保有者の立場から語られることが多い。もっと情報主体の視点から考えられるべきだ」――。関西情報・産業活性化センター iDC事業部の木村修二担当部長は12月15日,シマンテックが開催したワークショップにおいて,情報セキュリティに関して講演した(写真)。

 木村氏は,京都府宇治市役所の元情報管理課長。1995年に発覚した宇治市の住民情報データ流出事件では現場責任者として対処した経験を持つ(関連記事 )。また,1997年には事件の再発防止のために,安全性を重視したネットワークを構築するとともに,個人情報保護条例の改正にも力を注いだ。現在では関西情報・産業活性化センターで自治体の情報化支援の業務に携わっている。

セキュリティと事故発生に相関なし

 木村氏は,一般によく語られる“情報セキュリティの常識”に疑問を投げかける。まず「『セキュリティ対策の強化』と『事件/事故の発生」には相関はないのではないだろうか」(木村氏)。一般に,セキュリティ対策を強化すればするほど,セキュリティに関する事件や事故は発生しないと考えられている。しかし,これは願望に過ぎないのではないかと同氏は言う。「宇治市で流出事件が起きたとき,宇治市よりも対策をしていない自治体は多数あった。にもかかわらず,そういった自治体ではなく,宇治市で事件が起きた。事件/事故は攻撃者側の問題であり,防衛側の問題ではない」(木村氏)

 もし「セキュリティ対策の強化」と「事件/事故の発生」に相関があるのなら,万全のセキュリティ対策を施している組織では事故は起きないはず。しかし,「最高のセキュリティを誇っている組織,例えばペンタゴン(米国防総省)でも事故は起きている。もしこれらに相関がないのなら『セキュリティを強化しなきゃ事故が起きるよ』という決まり文句は“脅迫”でしかない」(同氏)

「トレードオフ」とはいえない

 また,個人情報の取り扱いについては「利便性と危険性(リスク)はトレードオフ」という決まり文句も「おかしい」と木村氏は指摘する。というのも,「利便性を享受するのは情報保有者で,危険性を負担するのは情報主体だからだ」(木村氏)

 「個人情報の取り扱いについてセキュリティを高めれば,情報保有者は『仕事にならない』などという。だが,情報保有者の利便性と引き換えになるのは,情報主体の危険性である。危険性を負担する情報主体に『もっとセキュリティに力を入れて』と言われれば,情報保有者はたとえ不便になっても力を入れるべき。情報主体にとっての利便性と危険性をはかりにかけた場合のみ,本当のトレードオフといえる」(木村氏)

セキュリティ研修に意味ある?

 「セキュリティは『人』の問題」と言われるために,企業や組織では情報セキュリティに関する社員/職員研修が積極的に行われている。だが,「セキュリティ研修にどれほどの効果があるのか疑問だ。というのも,セキュリティ研修で全社員/職員の意識を一人残らず改革することはできないからだ。事故はたった一人の不注意や不正行為で発生する。そう考えれば,セキュリティ研修で事故を防げるとは考えにくい」(木村氏)

 「そもそも,社員研修などで社員全員の意識を改革できれば,倒産する企業などないはず。どのような研修であっても,それほど効果がないことはみんな知っている。それなのに,どうしてセキュリティ研修だけは効果があるといっているのだろうか。実際のところ,みんな(それほど効果がないことは)分かっているのに言わないのだろう。そういった重要なことは,口に出して言うべきだ」(木村氏)

詳細な手順書はモラル・ハザードを招く

 木村氏は,「詳細な手順書を定めて,それに従って行動すればセキュリティを確保できる」という考え方にも警鐘を鳴らす。「手順書を真剣に作成すれば,危険性を克服するためだけの手順書になる。例えば,住民票を1通出すのに30項目の確認を必要とするような手順書ができあがる。だが,そのような手順書は実行できないので,みんな守らなくなる。結局,詳細な手順書はモラル・ハザードを招くだけになってしまう」(同氏)

 同氏は,上記のような“情報セキュリティの常識”に疑問を投げかけ,「情報セキュリティは情報主体を安心させるものでなければならない」と強調する。「いくら『万全のセキュリティを誇っているので任せてくれ』といわれても,情報主体は安心できない。理解できる言葉で,どのように情報を扱っているのかを説明して,納得してもらえなければ,情報主体は情報を預けてくれないだろう。情報保有者は『自分たちはこのようなセキュリティ体制をとっている』『セキュリティに100%はない』といったことをきちんと説明して判断材料を開示し,あとは情報主体の判断に任せることが重要だ」(木村氏)

(勝村 幸博=IT Pro)