米Citigroupは390万人分の個人データを紛失したと発表した。データをバックアップ・テープに入れて米United Parcel Service of America(UPS)の配送サービスで送ったのに,あて先に届かなかったのだ。
大規模なデータ紛失である。何者かが悪用目的でデータを入手した形跡はないものの,我々全員の個人データのセキュリティに深刻な影響を与えるだろう。
最近になって個人データの紛失が頻発しているように見えるかもしれないが,これは思い込みに過ぎない。個人データ流出の事実を公表するよう企業に義務付けたカリフォルニア州の法律の効果で,頻繁に起きていると感じるだけだ。昔からずっと発生していたことだ。現在は,企業が事実を発表しなければならなくなっているだけなのだ。
セキュリティ専門家として,私はこのカリフォルニア州の法律を次の3つの理由から好ましく思う。その1:実際の流出事例が研究に役立つ。その2:自分の個人データを紛失された,あるいは盗まれた被害者に警告することはよいことだ。その3:世間の目が厳しくなることで,企業は個人データを保護するためにより多くの労力を費やさなくてはならなくなる。
データ流出を社会の恥(public shaming)と考えるようにしよう。企業は恥をさらすことによる“負のPR”を避けるため,お金をかけるようになる。その結果,セキュリティが向上する。
この方法はうまく機能するが,慣れによって効果は次第に薄れていく。この種の事件が多発すれば,新聞はあまり記事にしなくなる。新聞でかき立てられる回数が減れば,社会の恥の程度も小さくなる。恥ずかしさが小さくなれば,企業が恥を回避するために割り当てる予算も少なくなる。
今回のCitigroup社によるデータ紛失は,新聞記者などに新たな基準を設けた。今後は,5万人程度のデータ窃盗ならニュースにならないと考えられて報道されないだろう。
個人に対する通知も慣れによって効果が薄れる。カリフォルニア州には,個人データ紛失の通知を10通以上受け取っている人々がいる。通知を受けても,身元情報の窃盗(悪用)が起きなければ,その人たちはデータ紛失など大したことではないと考え始める(一般的にこの考えは正しい。ほとんどのデータ紛失は身元情報の窃盗につながらない。だからといって,データ紛失に問題がないということではない)。
データ紛失の公表はよい取り組みだが,それだけでは不十分だ。
<http://www.businessweek.com/ap/tech/D8AIONPO2.htm?...>
<http://www.informationweek.com/story/...>
<http://blog.inc.com/archives/2005/06/07/...>
<http://www.consumeraffairs.com/news04/2005/...>
Copyright (c) 2005 by Bruce Schneier.
◆オリジナル記事「Public Disclosure of Personal Data Loss」
◆「CRYPTO-GRAM June 15, 2005」
◆「CRYPTO-GRAM June 15, 2005」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。
