GRCS シニアアドバイザー 森本哲司
こんにちは、森本哲司です。
これまでの業務や研究で得た知見を交えて、ERM、セキュリティ、ガバナンスについて論評させていただきます。
なお、疑問や問合せのある方は、こちらまでご連絡ください。(ご返答はお時間ください。)
主題:移り行く個人データが持つ価値の行方2
個人情報やプライバシーに係る法律は発展途上の国でもしっかりと制定されており、アメリカでは連邦法と州法により相当厳しい法体系となっているだけでなく、その他標準規格やガイドラインも多数存在します。
日本で確認できる代表的な標準やガイドラインを列挙すると、次のようになります。(正式名称でなく略称で表記します)
- ePrivacy規則(GDPR):EUの個人データ、プライバシーに係る法制、規則というかレギュレーション
- ENISA:欧州ネットワーク・情報セキュリティ機関で(1)の下部となるガイドライン「個人データ処理に係るセキュリティガイドライン」
- ISO/IEC 27701:ISMS(27000シリーズ)ファミリーのプライバシー情報のマネジメントシステム
- ISO/IEC 27018:ISMS(27000シリーズ)ファミリーのクラウド事業者向けのプライバシー保護のマネジメントシステム
- ISO/IEC 29100:JIS X 9250 プライバシーフレームワーク
- NIST PF:アメリカの国立標準化団体で策定されるガイドライン、NISTサイバーセキュリティフレームワーク(CSF)のプライバシー版
- NIST SP800-53 R5:セキュリティ管理策とプライバシー管理策
- Pマーク他:日本産業規格JIS Q 15001 マネジメントシステム 他
金融分野や医療医薬含む生体情報の領域を除外し、ざっと列挙しても、上記の様相で、一体何を参考とすべきかを問われると混乱以外ありませんが、コンサルとしては個別対応を組み立てます。
ちなみにISMSファミリーでは、健康情報を次で包括していますが、この、27700系の規格はアドオン規格というより、ガイダンス規格で、JIS化されていません。
- ISO 27799:健康情報の情報セキュリティ管理
- ISO 27789:電子健康記録の監査証跡
金融庁では個人情報の保護に関して、個人情報保護委員会との連携で次のガイドラインを策定しており、関係者の参照点になっています。
金融庁のサイト:https://www.fsa.go.jp/common/law/kj-hogo-2/index.html
また、FISCガイドライン検索システムでは、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」以外の最新情報も掲示しています。
お金の情報、健康の情報
世界にある銀行では古くから金融資産の情報を管理し、プライバシーの保護に影響を与えてきましたが、日本でも同じように追走し、管理を進めてきました。
最近の国内事例では、官報で掲載される日本人の自己破産者、個人再生者のデータを集めたサイトが、傍系犯罪を惹起させる有害サイトだとして訴訟を提起され、閉鎖に追い込まれました。
また、類似で作られたサイトも、個人情報保護委員会からの度重なる勧告の発出が行われています。
この事案は、個人が個人の考えから作り出したサイトで、詐欺や不正誘導が多発したために起こった例ですが、論点は、個人情報保護法違反、憲法の精神に対する懸念となる名誉棄損(プライバシーの侵害を含む)の2点です。
例示の官報掲載の情報を組織的に集約し、組織的に販売(加工の有無は横において)し、その情報が、目的外利用や漏えいへ発展した場合、取り締まりの基準はどのようになるのかの提示はありませんし、例の訴訟は未だ決着していません。
金融分野では、反社団体・個人の情報を警察庁と連携し、根拠情報として専用回線で確認できるサービスがあります。
また、外資の通信会社系データベースビジネスでは、外国人の過去の犯罪履歴や特権的役職(例:外交官他)の格付け情報が確認できるサービスが販売されています。こと、日本国内において外資(多国籍)企業に対する処方が甘いのではないかと疑われるひとつの要素ですが、構造的な法体系を志向する諸外国と比較すると日本は幅や深さの概念があるのかと考え込みます。
その他、マネーロンダリング対策で本人確認書類を整備していますが、例えば証券口座の開設には、日本証券業協会の自主規制はマイナンバーを提供することが基本です。しかし、これも絶対ではありませんが、今、健康保険証番号とマイナンバーが連結し始めていますので、健康の情報とお金の情報は繋がっていこうとしています。(ちなみに例外的にクレジットカードで購買した後のポイント還元のポイントを元金として、投信を購入できるサービスは、証券口座が必要ないという隙間があります。)
次に健康情報のひとつの事例ですが、企業が全社的に受診した健康診断の結果を個人が確認できるだけでなく、書類で企業へ送付されるようにしている組織があります。
この事例でもセキュリティが喪失した状態が懸念され、端的に表現すれば、総務人事の担当者が従業員の体重を把握することが出来るというプライバシーの問題が発生します。
一部の企業は産業医の確保を始めとして集団検診の仕組みを整備していますが、ほとんどの組織が手つかずの状況と推測しています。そのような組織では、経営陣の報酬や特定の個人が得た年収額は、ほぼ半分は秘密扱いですが、半分は公開された情報であると断言できるのは、過去の経験からも容易に推察出来るからです。
経験から例示すると、中堅クラスの金融会社の総務担当者が社長の給与や特定の個人情報を閲覧していたことで問題となり、対策を検討しました。何故発覚したかは、当該担当者がポロリと口外(秘密の暴露)したからですが、その組織では、結局重要情報に対してアクセス記録を取り、誰が閲覧したかをログするという、本質から距離を置いた処置で落ち着いたことです。
これが健康情報であればどのようになっていたか、何か議論が深まらない、幅が広がらない、「最小限の知る原則」は踏みにじられています。
結局筆者は、この事業体の処置を考察した最終結論で、データベースの管理者が専門家ではないことが起因しており、行方の左右が提言された質とは次元の異なる目前の課題の達成で事を済ます日本人独特の考え方も影響しているとして、給与DBテーブルの3層化を再提言いたしました。
昨今の状況から個人データ、プライバシーの取扱いへの懸念は、個人情報を尊重するブラウザの出現という現象をプライベートVPNの導入を引き連れて、確認することができます。
Firefoxにおいてもプライベートモードが装備されています。インターネット時代の幕開け時には、ブラウザソフトは有料だったことを思い返すと、Microsoft社が打ち出した無料の施策は、このような時代を予見していたのでしょうか、そのInternet Explorer も、2022年6月にサポート終了となりました。(Windows 10 LTSC [Long Term Servicing Channel] は、2029年1月まで)
新しいブラウザのリリース
Trident、Gecko、WebKit、Chromium、Blink等レンダリングエンジンを切り替えられるブラウザも他にありますが、世界中のマーケットで危険性や安全性についての評価がされるでしょう。
中国系企業に買収されたOperaの元CEOが作ったVivaldi
使っているだけで仮想通貨が貯まるというBrave
VPN接続とセットで構えるiTop Private Browser
世界初のタブ式ブラウザを開発してきた日本生まれの20年以上歴史あるLunascape
クッキーによる各種の追跡可能なデータ属性から、当該個人が何を追跡されているかを知っているのか、知るべきなのかは誰も図ることはできません。
しかし、2000年初頭からの動態追跡(画面遷移の傾向)全般に対する手法として、以前はビーコンとクッキーの使い分けをしていたものがクッキーに集約、そしてクッキー制限を契機として、また別の形で復活する、若しくはビーコン以外の手法が編み出され、結果としては新たな追跡が始まる螺旋的回帰となるのでしょうか。
まず、SEO対策とウェブマーケティングを再考する機会を全社的横断的に作る場を設けることが重要ではないでしょうか。
次回は、IDと顔、身体