• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版

モノと道具を再構築する

2014.08.11

「個人情報」に関するリスクを減らす10のセンス(2)

古瀬 幸広

事業者さん向け、ITとの間違いのない接し方

効率 教育 個人情報 IT 制度 技術 失敗 危機管理

前回の続きです)

(6)二段階認証にこだわるセンス

メールシステムの中でも、狙われやすいのはウェブメールである。IDとパスワードでしか保護していないことが多いから脆弱だ。クラウドサービスの普及で、出張先からもウェブメールで業務メールを見ることが多くなっているはず。その管理には敏感でなくてはならない。

パスワードを再確認しよう。条件は、
・大文字、小文字、数字、記号を混在させていること
・全体として意味不明の文字列になっていること
・12桁以上の長いものであること
・他サービスを利用するパスワードと重複していないこと

である。「これだと覚えられない」という人もいるだろう。しかし、自分で覚えられる程度のパスワードを複数のサービスに使うのは、玄関の鍵を植木鉢の下に隠すくらい危ないことである。

LastPassのようなパスワード管理サービスを使うといいだろう。これとて万全ではないが、使うほうが何万倍もマシである。

続いて、二段階認証(多要素認証)を使おう。二段階認証とは、IDとパスワードでログインしたあと、スマートフォンアプリが発生するコードや、メールに送られてくるコードを入力(二段階目の認証)しないと、サービスを利用できないものだ。

逆に言うと、二段階認証できないウェブメールシステムは、使うに値しない。「怖い」と感じるセンスが必要だ。

(7)「自分だったら、イヤ」と感じるセンス

技術的にできることと、やっていいことには差があるし、法的に問題のないことと、やっていいことにも差がある。これはとても重要なセンスだ。「技術的にはカンタンに実現できるし、法的にも問題はないこと」であっても、されるとユーザーが感情的に反発してしまうこともある。

あるパチンコ店は、駐車場にナンバー読取装置を設置し、自動車登録情報(車検証情報)を照会して、どの地域のクルマがきているのかを分析するサービスを試験的に導入したが、最終的には導入を見送ったという。

やめたのは正解だ。そんなシステムがあることが客に知られたら、閑古鳥がなくか、炎上するかのいずれかである。

このシステムは「法的には問題がない」という。技術的にもいまや容易なシステムだ。しかし、導入する際には、「自分が読み取られる側だったらどう思うか」と自問自答するべきだ。

「違法ではない」ということを弁護士に確認するのみで、突っ走る社員には要注意だ。Tポイントカードを喜んで使う人ばかりではないのはなぜか、と考えるセンスが要求される。

典型例が、JR東日本の「Suica乗降履歴販売問題」(2013)だ。Suicaの乗降履歴を日立製作所に販売すると発表した瞬間から、JR東日本は厳しい批判にさらされた。

報道を総合すると、当事者たちは「住所・氏名のような個人情報は匿名化するから、問題にはならない」「匿名化した乗降履歴は法律が規制の対象とする個人情報ではないから、問題にならない」と思い込んでいたフシがある。

いや、自分の行動履歴が売られると知ったら、やはりいい気持ちはしないでしょう。この段階では匿名化されていても、売られた先でほかの何かと結びつければ、やはり個人が特定されるのではないかという不安もある。

いくら「法的には問題がない」と説明したところで、「イヤなものはイヤ」という反応をされたら、批判は免れない。「選択肢のない企業の行為」であることも、人々の反発を大きくした要因だろう。

「だったらJR東日本は利用しない」という選択ができない。自らの公共性に対する自覚が足りなかったと思う。公共サービスだからこそ個人情報をたくさん集められるのであって、その利用には禁欲的でなくてはならない。

駅に設置した監視カメラの映像を、無断で顔認識の研究に使用していたオムロンも批判にさらされた。これも、「自分がされたらどう思うか」という単純な問いかけで、利用を思いとどまることができたはずだ。

自分で判断できないなら、弁護士ではなく、家族や周囲の友達に内容を話し、感想を聞いてみるといいだろう。「なんか気味悪い」という反応が戻ってきたら要注意だ。

(8)隠し事はできない、と感じるセンス

たまに「世間にバレなきゃいい」と判断しているとしか思えない事例に出会って、うんざりすることがある。もう、どんなことも、隠し通せる時代ではない。

なんらかの形で、必ずバレると思うべきである。内部告発も昔は大変だったが、いまではネットの掲示板にさらっと書き込むだけだ。頻発する食品偽装問題で、想像がつくだろう。30年前なら明るみに出ていないことが、どんどん問題になっている。

アプリやサービスにへんな仕込みをしていたら、誰かがそれに気づいて確実に騒ぎになる。集まった情報に対して人権侵害となりかねない処理をしていたら、いつか誰かが内部告発をする。こっそりと何かやるのは、無理だと考えるべきである。

ユーザーからのクレームに対して個別対応をするセンスも、もう捨てるほかない。その個別対応がネットを通じて他のユーザーに伝わるからだ。バレることを前提に毅然と対応するほかないのである。

「こっそり」もよろしくない。利用規約の片隅に、わかりにくいように個人情報利用について触れているような場合だ。これで「同意をとっている」というのは無理がある。これは騙しうちである。裁判になったら確実に負けるだろう。

つまりは、サービスにしろ、アプリにしろ、クレーム処理にしろ、堂々と発表できることを、堂々とやるほかないのである。

(9)USB端子を接着剤でつぶすセンス

これからは、社員が使うPCについて、もっと気にする必要がある。中小企業のオフィスは警備が万全とは言い難いことも多く、侵入者によって被害を受ける可能性も高い。また、残業で一人残る社員が、出来心をもつ可能性も、残念ながら否定しきれないだろう。

第一に、個人情報を扱う端末と、そうでない端末を分けることだ。その上で、後者はウルトラブックのような光ドライブのないPCにすることである。DVDやBDは大容量の情報をコピーできるので、ないほうが望ましいということだ。

第二に、その上で後者のPCのUSB端子をつぶしておく。システム的につぶすこともできるが、こういうのは接着剤で固めてしまうほうが手っとり早いし、確実だ。

エポキシ樹脂系の接着剤で埋めてやるといい。USBメモリーキーを使ったコピーを防ぐ意味もあれば、悪意のあるUSB機器(BadUSB)が接続されるのを防ぐ意味もある。

そして第三に、マシンがまるごと盗まれても平気であるようにシステムを設計することだ。たとえば、バーチャルデスクトップ環境から個人情報を操作するルールにしていれば、ローカルのPCにはデータが残らない。これが最も安全である。

こうした配慮は、大学などでも気にするべきことである。大学にも個人情報を扱うPCが多い。学生の成績がまっさきに浮かぶが、医学部があれば研究用の患者の個人データやカルテが入っていたりもするだろう。PCの管理は研究室に一任されていることが多いが、もっと組織的な対応が求められている。

個人情報を扱う部署には、スマートフォンを持ち込み禁止にするセンスも求められる。システム的にどんな工夫をしても、画面の写真を撮られたら終わりだ。USB端子がつぶれていても、Bluetoothなどの無線でスマートフォンを接続してコピーすることもできる。

(10)担当部署を花道に置いて毎日声をかけるセンス

情報処理は専門部署だからと、窓もないような部屋に閉じこめてはいけない。本来、個人情報は会社にとって商売の種。オフィスのど真ん中で、みんなから注目されるところに置こう。

ガラス張りの部屋で、いろんな人の目がある環境の中、堂々と内部犯行に及ぶ度胸のある人は滅多にいない。その上で、毎日、経営者が声をかける。「今日もありがとう」と声をかけるだけで、人間はやる気が出るし、裏切る気持ちもそのぶん薄れる。

コンピュータ犯罪で最も防ぎにくいのが内部犯行だが、経営者が自ら声かけをするだけで、ぐっと減るはずである(「理髪師の身分が高かったのはなぜか」を参照)。

「日頃は奴隷扱いしておきながら、高い職業倫理だけを求めるのは滑稽」と、ある人が言っていた。その通りだと思う。

以上、これからの経営者・職業人がもつべき10のセンスをまとめてみた。セキュリティに万全という言葉はないが、この通りのセンスを身につければ、リスクを最小限にすることはできるはずだ。

プロフィール

古瀬 幸広 (ふるせ ゆきひろ)

1960年奈良県生まれ。ジャーナリスト、批評家、情報学者、情報アーキテクト。東京大学文学部在学中から、科学技術と社会・文化を対象にしたジャーナリストとして活躍。1980年代は日本語の情報化に、1990年代はインターネットの普及に、2000年代はコミュニティマーケティングの開発に貢献した。『ネットワーカーズハンドブック』(翔泳社、1991)、『ハイテク商品失敗の研究』(実業之日本社、1994)、『インターネットが変える世界』(共著、岩波新書、1996)、新刊に『仕事がはかどるPC入門─サプライズGuideシリーズ』(アントレックス)など著書多数。イワン・イリッチのConvivialityに「共愉」という訳語をあてたことで知られる。『日経トレンディ』の連載「古瀬幸広の実験工房」は24年目に入る長寿連載である。 2004年にはコミュニティマーケティングの嚆矢と評価の高いリエータカフェを開発。タニタと共同し、世界で初めてBluetoothでネットにつながる体組成計も開発した。2006年インフォリーフ株式会社(InfoLeaf Inc.)を設立。同年、新しいブログ&データベースモデルを組み込んだコミュニティサイト・My Cosmosを開発。2010年にはEco Japan Cup 2010の環境ビジネスベンチャー・オープンにて「直販所POS統合型マーケットプレイスの運営」で141応募中の1位を獲得。農産業・水産業・林産業の支援と、それによる里山保全というテーマにも取りくんでいる。 2011年、TwitterやFacebookの最新情報をテレビに自動表示する情報テレビシステムを開発し、特定非営利法人グローバル・コロキウムとともに、東北地方太平洋沖地震・福島第一原発事故の被災者支援に活用した。現在、RDBMSの欠点を克服し、クラウドとビッグデータに対応できる新しいデータベースモデルの開発にも取り組んでいる。