GRCS シニアアドバイザー 森本哲司
こんにちは、森本哲司です。
これまでの業務や研究で得た知見を交えて、ERM、セキュリティ、ガバナンスについて論評させていただきます。
なお、疑問や問合せのある方は、こちらまでご連絡ください。(ご返答はお時間ください。)
主題:移り行く個人データが持つ価値の行方3
世界の空港で顔認証というか顔の持つ特徴を数学的に処理したシステムが本人認証としてパスポート確認の代わりに導入され始めていますが、確か英国の企業であったか、Facebook上にある顔の画像や公開されているSNS画像を関連付けて情報提供するビジネス展開に対して、裁判所で停止命令が下されたと記憶しています。
個人である証明として顔の情報が裁判においてプライバシーの根源としていますが、その次の序列に何がくるかを考えると、映画の中で見る身体埋め込み可型のIDデバイスになるのだろうかと想像したりします。そのようなデバイスは、北欧の企業で既に埋め込み型デバイスとして開発され、実用化に向けた試行が行われています。
腕時計の形式であれば利用中となりますが、ひと頃、虹彩(瞳孔)認証でセキュリティ関係者で話題となった当人の健康状態の現在情報が虹彩に現れるというもので、糖尿病になると人の虹彩が変化云々といった生体認証の弱点と強度についてコンセプトや市場化の方向を比較整理した仕事をしたことがありました。
その際、顔認証、バイオメトリクス認証は静脈、指紋、音声、虹彩等あるが、どれもこれも、今ひとつといった結論で、指紋が一歩抜きんでているとしていましたが、今後は技術動向の高度化と多要素認証、2段階認証の取扱い等でより複雑化することは間違いなく、「属性の組合せベース」の認証へシフトすると推察しています。
そして、その実現ではパスワードがなくなる=IDとパスワードの関連付けがなくなる選択肢も予想し、その行方に注目しています。
さて、前回の論考でブラウザの新規リリースが盛り上がっていることを記載しましたが、情報取得・登録の入り口の手段であるPC向けブラウザは、セキュリティ的にも岐路に立たされていると認識しています。
脆弱性のあるブラウザによる被害や2次影響などの懸念点以外に、追加機能のアドオンのプログラム品質は重点的に目配せが必要な要素(Adobe社のFlashプラグインで、最終的にブラウザ側で排除した経緯がある)です。
事業体では、標準ブラウザの指定、アドオン機能の無制限な利用の禁止、接続履歴の管理設定を始めとして、MDM等端末管理ツールによる各種監視やモニタリング記録に至るまで相当のコストやリソースを注いでおり、自前のブラウザを開発する方が早いのではないかと考えたりもしました。(Operaは、リリース初期にそのような志向を持っていた)
ブラウザを立ち上げると自動的に顔認証でIDがブラウザに登録され、成りすまし、特権昇格、攻撃からの防御が完結し、無駄なアクセスのアクションをしないというイメージですが、我ながら直線的な思考で「話にならん」と感じます、閑話休題。
IDのライフサイクルと生命の定義
前回のお金と健康の話以外に、情報管理の観点からは「シークレット」の問題があることを提起します。
ID管理の原則では、退職者のIDは早い段階でシステム(データベース)から削除(廃棄)されると一般的には認識されているようなことも、情報管理の観点から云えば、無効化フラグが立てられて、管理者以外は利用されない措置を取るにすぎません。
理由としては、退職者本人が関与した社内不正の不存在が明らかになった時点等で処置される、IRM/DRMを利用したDLPの通知機構上、IDが不明だと解析上の障害になる等という「シークレット」対応のためです。(無効化は、ファイルを見かけ上のゴミ箱というフォルダに入れるのと同様の話ですね。)
金融分野では取引履歴の永続化や追跡性の確保から無効化されることが殆どで、金融商品取引法におけるIT全般統制からすれば、2重基準になりかねない危惧を持ちつつ、平成時代の価値観からシフトチェンジの時期に来ていると言わざるを得ません。
一般的な事例ですが、国民総背番号システムがあり、それに付随した各種情報が登録されているとするサブシステムが稼働する未来を考えて、何を登録すべきかの議論を深めるべきだと云えます。というのも臓器提供の個人の意思は、免許証や健康保険証の裏側に記録するのが通常なのか。誰が書いたかも検証できないアナログなセキュリティが喪失した状態のことをこれまた考える訳です。
システム登録すると仮定し、死の定義次第ではありますが、死亡したので即時IDを削除では、脳死判定後の臓器提供の可否の確認が出来なくなるとか、死者の医療履歴の検証ができないので医療事故や過誤の発見が出来ないなどという弊害も考慮することとなります。つまり、本人以外の書き換え自由な免許証の裏面の記述よりも、よっぽど信頼があり、時間的な制約に縛られないと判断するのは早計でしょうか。
結局、IDという名において個人データは永遠に記録され、存在しつづけるという方が、自然のような気がします。「忘れられる権利」というのも、現実的にこれが個人データの取扱いの原則として「シークレット」ではなく、当たり前の「デューデリジェンス/デューケア」となる、近い未来に起こりうる価値観の逆転となるやもしれません。某国の性的犯罪者のGPS装置付き器具の強制装着等は、どこまで許されるのか、倫理観と価値観が畝を見せている風景です。
前回の論考で、標準や基準の列挙でPマーク他と記述しましたが、実態は多様性と市場競争の肯定としたPマーク以外の認証制度について知らない人が多数なので、他としました。
また、Pマークは、JIPDEC:一般財団法人 日本情報経済社会推進協会の登録商標と誤解している人もおり、制度の運営に問題が多いのかもしれませんが、ここで記載します。
一般社団法人JAPHICマーク認証機構が推進する、個人情報保護の第3者認証制度です。
サイトURL: https://japhic.or.jp/
Pマークが経済産業省と位置付けるなら、このJAPHICは厚生労働省の影響を受けているとなるでしょう。医療・介護・福祉領域を対象として制度化したものです。(一般企業対象のJAPHIC認証もあります)
紹介したJAPHIC以外にも、JQA:一般財団法人日本品質保証機構が独自で認証しているサービスもあります。正式名称が良く分かりませんが、JIS Q 15001 認証サービスのURLを次に示します。(どうもISMSとセットで認証されるもののようです。)
https://www.jqa.jp/service_list/management/service/jisq15001/#
先に掲示したJAPHICの査定する基準は、「個人情報の保護に関する法律」、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」、「特定個人情報の適正な取扱いに関するガイドライン」の3つで明快です。
個人情報保護委員会の医療介護向けサイト:https://www.ppc.go.jp/personalinfo/legal/iryoukaigo_guidance/
「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」PDF:https://www.ppc.go.jp/files/pdf/01_iryoukaigo_guidance4.pdf
サイトからの引用ですが、対象者は明快に2つに分類しています。
医療関係:病院、診療所、助産所、薬局、訪問看護ステーション等の患者に対し、直接医療を提供する事業者
介護関係:介護保険法に規定する居宅サービス事業、介護予防サービス事業、地域密着型サービス事業、地域密着型介護予防サービス事業、居宅介護支援事業、介護予防支援事業、及び介護保険施設を経営する事業、老人福祉法に規定する老人居宅生活支援事業及び老人福祉施設を経営する事業その他高齢者福祉サービス事業を行う事業者
このJAPHICマーク認証機構に期待したいのは、厳格な運用です。
Pマークは制度発足以来、過去3回の認証停止・Pマークはく奪の処置を行っていますが、わずか3回です。
厚生労働省では制度運営の主体が徹底的に指導助言する体制とする予算の投下、支援を進めて、権威性ではない、世界に誇れる有効性、品質の高い制度を目指さなければ、日本の医療機器の世界品質が巻き込まれて低下する阻害要因となると懸念されます。
国内では既に、大規模な病院がランサム被害で影響を受けており、このような問題は3年以上前から欧米で発生していました。また、日本の最初のランサム被害は、某重厚長大企業のヨーロッパ開発拠点で電子顕微鏡システムの罹患からと記憶しています。
総論としては、個人情報保護委員会は、定められた頻度による見直しを個人情報保護法で3年と定めているので、世界基準を見据えた議論を進められるように各省庁との結節点となって推進されるべきだという、至極当然なものになります。