2010年7月14日、マイクロソフトがWindows 2000とXP Service Pack 2(SP2)を対象とした延長サポートの提供を正式に終了した。同社は「安全が確保されないので適切な対応を急いでとってほしい」と訴えている。情報処理推進機構(IPA)も「サポートが終了したOSを使い続けることの危険性を認識していない企業のシステム管理者も少なくない。サポートが継続しているOSへの迅速なバージョンアップの実施を」と注意を喚起。しかし、全国にはまだ更新していないビジネス用パソコンが数十万台残っているらしい。まさか、このようなサーバーで個人情報を取り扱うこともないだろう……と信じつつも、疑念は残る。
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」には、個人情報保護法第20条の解説として、「オペレーティングシステム(OS)、アプリケーションなどに対するセキュリティ対策用修正ソフトウエア(いわゆる、セキュリティパッチ)の適用」が【各項目を実践するために講じることが望まれる手法の例示】に記載されている。「望まれる手法」であっても「技術的安全管理措置として講じなければならない事項」の中だから、パッチを適用しないのであれば他の手法が講じられていなければならない。サポート期間が終了したOSを使い続けるなど論外という立場であろう。
ユーザーの立場で言えば、財務情報などの機密情報ならどのように扱ってもいい。万が一のときの被害者は会社だから、いわば自業自得である。しかし、顧客情報などで他人に迷惑をかけることになるのであれば許しがたい。少なくとも個人情報保護法の求める管理水準以下のハイリスクな状態でシステムを運営するのであれば、リスクを受容した理由を公表すべきだろう。
高倉先生が本コラムの「パッチ適用ができない……」で論じたように、パッチの適用に困難が伴うのはご指摘の通りである。「脆弱性を突く攻撃を受けるリスクよりも、パッチ適用に伴うシステム運用や業務への影響を懸念する管理者が少なくない実態が明らかになった」という調査結果も報告されている(参考記事)。
