【セキュリティ】予測されてしまう個人情報とプライバシー

ビッグデータやIoTを利用することが、生産性のアップ、新しい産業の創出、業務の効率アップなどに役に立つというような効果が明確になってきています。

IoTが拡大して、私たちの普段の生活にネットに繋がれたデバイスが溢れています。ネットに繋がれた家電品、遠隔でドローンを操縦するというような技術まで出てきています。さらに、通信と全く従来は関係がなかったようなものまで繋がっています。

また、ビッグデータが集められて使われることで、新しいビジネス、商品などが誕生しています。ネット上の巨大なプラットフォームが毎日人が活動するデータについては分析をすでに行っており、企業活動や市民生活をサポートすることに活かされています。

個人情報を管理するだけでなく、いかにこの情報を分析するかを競争するようになっています。ビッグデータやIoTによって、個人情報が全く個人が考えないようなところで集められて、分析されて、利用されています。

個人情報を集める際には価値が明らかになっていませんが、利用する過程において価値を新しく生み出すとともに影響を個人に対して与えています。

アメリカにおいて報道された事例についてご紹介しましょう。
父親が、スーパーから娘さんの高校生宛のベビー服についてのDMを受け取ったので、抗議をこの父親が行いました。しかし、スーパーとしては、以前の妊娠した人が買った履歴のデータと照合して正確に買いそうな品目を予想しており、この父親の娘さんは実際に妊娠していました。
つまり、スーパーは、娘さんが妊娠していることを父親よりも早く知ったそうです。

ビッグデータやIoTを利用することが、いろいろなビジネスが発展するためには必要でしょうが、一方、利用する場合には、「プライバシー保護」と「通信の秘密」の問題が関係してきます。
しかし、通信の秘密についての情報の場合でも、利用することが一定の範囲において進められています。例えば、警察の捜査などの場合には、携帯の位置情報を利用することがあるようです。

【セキュリティ】個人情報とはどこまでを指すのか

個人情報保護法で言う個人情報とはどこまでを指すのでしょうか?

個人情報というのは、個人情報保護法において、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」と決められています。
そのため、住所や名前などは個人情報であると容易に分かりますが、どこまでを「他の情報と容易に照合することができ」という箇所について指すかによって、個人情報の内容は違ってきます。

一般的に、「他の情報と容易に照合することができ」という箇所は、厚生労働省経済産業省告示の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」というものを参考にして判断するといいでしょう。

このガイドラインにおいては、「他の情報と容易に照合することができ」ということに関して、「通常の作業範囲において、個人情報データベース等にアクセスし、照合することができる状態をいい、他の事業者への照会を要する場合、当該事業者内部でも取り扱い部門が異なる場合等であって照合が困難な状態を除く」と書かれています。
つまり、組み合わせを情報の公開されているものなどと行うことによって、個人情報として個人が分かるような場合でも取り扱うことが必要です。

個人情報になるものとしては、

  • 個人の名前、住所、生年月日、メールアドレス、電話番号などと個人の名前を組み合わせたもの
  • 求人情報や従業員情報
  • 顧客情報

などが挙げられます。
なお、このような個人情報としては、文字のみでなく、音声・映像なども対象になります。
一方、個人情報にならないものとしては、

  • 亡くなった人の情報

しかし、情報が遺族に関係する場合は個人情報になります。

  • 法人などの団体自体の情報

会社名だけの場合は個人情報になりません。

【セキュリティ】関係者と共有しながらファイルを管理する際に注意すべきセキュリティの基本

関係者と共有しながらファイルを管理する際には、どのようなことに注意するといいのでしょうか?
ここでは、関係者と共有しながらファイルを管理する際に注意すべきセキュリティについてご紹介しましょう。

一般的に、関係者とファイルを共有する時には下記の3つの方法のいずれかをとります。

  1. USBメモリ、HDD(ハードディスクドライブ)などを使って媒体経由で共有する。
  2. クラウドストレージサービスを使って共有する。
  3. メールに添付して送付・共有する。

いずれの方法も、サービス・ツールそのものに何段階かのセキュリティ対策(例:暗号化など)が取られています。

自分でできるセキュリティ対策としては、やはりファイルそのものへの開封パスワードを設定することでしょう。特に、覚えきれないからといってiDとパスワード一覧を単なるテキストファイル(*.txt)などに保存して、パスワードなしで置いておくのは非常に危険です。よくアクセスするために、うっかりメールに添付してしまったり、USBメモリにコピーしっぱなしで忘れてしまったり・・・ということもあります。

ちなみに、以前ではファイル共有ソフトを使用するケースもあったようです(例:BitTrrentなど)。ファイル共有ソフトというのは、ファイルをネットを使ってP2P(ピアツーピア)という技術でやり取りするものです。
利用する人は、ファイル共有ソフトをネットに繋がれた自分のパソコンに導入することによって、ファイルを別の使っている人とやり取りできるようになります。
しかし、ファイル共有ソフトは、ファイルを自動的に送受信するようになっているので、ファイルの違法なものをやり取りする場合に使われたり、ウイルスが感染することでネット上に公開したくないファイルが流れたりするというようなトラブルが多く起きています。
このようなトラブルを防止する一番確実な対策としては、(便利なツールなだけに残念ではありますが)ファイル共有ソフトを絶対に使用しないことです。

ファイル共有ソフトで特に重要視する必要があるのは、ウイルスに感染すると被害とリスクが非常に大きくなることです。
ファイル共有ソフトを使っているというのは、自分のファイルをネット上に公開される恐れがあります。
ウイルスに感染することによって、公開するためのファイルとは違ったファイルを公開するようになると、パソコンのハードディスクの全ての内容がネット上に流出するリスクさえもあります。
つまり、ファイル共有ソフトを使っているパソコンの場合には、普通の電子メールの利用やホームページの閲覧に比較して、情報漏洩のリスクが非常に高くなります。

また、ファイル共有ソフトの場合には、ファイルのそれぞれのコピーが大量にネットワーク内に作られる恐れがあります。
そのため、一度拡散してしまったコピーファイルの全てを完全に削除することは実際にはできないでしょう。

このことが、情報漏洩のトラブルが拡がる要因の大きなものになっています。
このように、ファイル共有ソフトを使うことは、情報漏洩のリスクが非常に高くなることを把握しておきましょう。

【セキュリティ】自分個人でファイルを管理する際に注意すべきセキュリティの基本

個人でファイルを管理する際には、どのようなことに注意するといいのでしょうか?ここでは、個人でファイルを管理する際に注意すべきセキュリティについてご紹介しましょう。

使っているソフトウェアを最新版に更新する

不正アクセスの対象に、普及が広く行われているソフトはなる恐れがあります。
OSやソフトウェアを使う場合には、特にセキュリティ対策に注意しましょう。
対策例としては、下記のようなものが挙げられます。

  • ソフトウェアを最新版へ更新する
  • OSのセキュリティを更新する
  • サポートが終了したOSは使わない
  • 必要ないソフトはインストールしない

「そりゃもっともだ」と思われてスルーしようとした方、ときどき、これらのノウハウをぜひ思い返していただきたい。日本人は世界の中でもかなりアプリをたくさん使い(無料に弱い)、道具を長く使い続ける(もったいない精神)傾向にあります。パソコンを5年以上使っている方、複数台持っている方も少なくないはず。たまに自分の環境を整理してみると、「あ、確かにこれは古いしいらないな」と気がつくこと請け合いです。

ウイルス対策を行う

個人で使っているパソコンについても、セキュリティ対策が重要です。
主な対策は下記が挙げられます。

  • ウイルス対策ソフトを導入し、最新版のウイルス定義ファイルに更新する。
  • 疑わしいサイトからファイルをダウンロードしない。使わない。
  • 発信元が信頼できない場合のメールに添付しているファイルは開かない。
  • 発信元が信頼できない場合のメールに書かれているURLへアクセスしない。
  • 違法なコンテンツをファイル共有ソフトでダウンロードしない。

パスワードを設定する

適切にユーザーアカウントを管理して、セキュリティレベルをアップしておきましょう。
パスワードやユーザーアカウントの簡単なものは、不正に悪意がある第3者に使われる恐れがあります。パスワードとして安易に連想されやすいものを使っている場合は、パスワードをすぐに変えましょう。
主な対策としては、下記が挙げられます。

  • パスワードを組み合わせが複雑なものに変える。
  • ログインするパスワードを時々変える。
  • 定期的にパスワードを変える。
  • パスワードの使い回しを避ける。

パスワードを破る側の技術もどんどん進化しているので、素人が考えたパスワードでは大した効果はないかもしれません。しかし、例えば 123456 といったものよりは、工夫をしておくことで被害を軽減する効果は十分に期待できます。

いちいちサービスごとにパスワードなんて覚えきれない、という方にアイデアを1つ共有しましょう。使い回しを避けつつ、強いパスワードにするために、半分だけ共通・半分だけオリジナルのパスワードを作ります。

例えば、前半の4〜5文字は共通パスワードとして、最後の4文字だけサービス名を入力する方法です。こうすることで共通部分のみ覚えておき、サービスごとのパスワードを全てオリジナルに保つこともできます。

  • ABCDサービスの場合 > Teco35ABCD
  • EFGHサービスの場合 > Teco35EFGH
  • Amazonサービスの場合 > Teco35Amaz

その他

セキュリティ対策を普段から行うことも大切です。
対策としては、下記が挙げられます。

  • 通信はセキュリティ対策が行われている無線LAN環境で行う。
  • WPA/WPA2に暗号化方式をする。
    ユーザーアカウントやパスワードはSSL通信をしている状態で入力する。
  • パソコンや携帯端末に必ずパスワードロックをかける。

【セキュリティ】セキュリティ対策の考え方

会社や組織にとっては大切な情報を取り扱っています。
このような情報にとっては脅威になるセキュリティ面においては、いろいろなリスクがあります。
そのため、会社や組織の情報のセキュリティ対策としても、さまざまなものが必要になってきます。
では、会社や組織の情報のセキュリティ対策としては、どのようなものがあるのでしょうか?

ここでは、会社や組織において発生する恐れがある情報のトラブルとセキュリティ対策についてご紹介しましょう。
会社や組織における情報のセキュリティ対策を考える場合には、考え方の参考にしましょう。

会社や組織における情報のセキュリティ対策としては、

  • ウイルス感染の対策としては、ウイルス対策ソフトの導入、リスクがあるサイトに対するフィルタリング、ソフトの更新など
  • 不正侵入の対策としては、パスワードの管理、侵入を防ぐシステムの導入、ファイヤーウォールの導入、ソフトの更新、ログの管理と取得など
  • 情報漏洩の対策としては、ファイヤーウォールの導入、顧客のデータ管理、パスワードの管理など
  • 災害などでの機器トラブルの対策としては、バックアップ、無停電電源装置の導入、設備の管理など

では、このようないろいろなリスクに対して、必要な対策を被害が実際に起きる前に講じておくにはどうすればいいのでしょうか?
組織としては、事前にセキュリティ対策の規則と方針を決める必要があります。
そして、社員の全てにセキュリティについて教育して、セキュリティ対策に沿った行動を行うよう、意識させることが必要です。
社会の変化や組織の実態に応じて、セキュリティ対策の行動指針や方針を定期的に見直す必要もあります。

このようなセキュリティ対策の行動指針や方針を策定することから実際の運用・見直しまでの全体の活動は、情報セキュリティマネジメントと言われています。
会社や組織の場合には、会社の幹部の指示によって、確実に情報セキュリティマネジメントを実行する必要があります。

【セキュリティ】ファイルが流出しても悪用されにくい簡単な対策

情報漏洩トラブルのネット上に公開されたものは、要因としては管理間違い、紛失、誤操作などの「人」によるものが約9割を占めるそうです。
では、このような情報漏洩トラブルの対策として、例えば、ファイルが流出しても悪用されないためにはどうすればいいのでしょうか?

対策としては、ファイル暗号化ソフトで、機密情報や個人情報などの大切なファイルについては情報漏洩対策の高度なものを行う、証跡管理を外部へ持ち出されたファイルについて行う、情報漏洩トラブルが起きても情報を遠隔から削除する、というようなことができます。

ファイル暗号化ソフトの場合には、ファイル暗号化対策をファイルに対して行うので、データが流出する経路は関係ありません。
ファイルが流出しても、ファイルの制御設定を管理者が変えたりすることもできます。
また、ファイルをメールに添付する場合や、ファイルをクラウドストレージへアップロードする場合など、自動暗号化にもいろいろなシーンで対応しています。
ファイルを自動で暗号化することで、自動的に情報漏洩のヒューマンエラーによるものを防止します。

機密情報や個人情報の大切なファイルについて情報漏洩対策の特に高度なものを行いたい、証跡管理をファイルの外部へ持ち出したものについて行いたい、情報漏洩トラブルが万一起きても情報を遠隔から削除したい、というような情報漏洩対策における問題が解消できます。

ファイル暗号化ソフトを使用すると、ファイルが流出しても悪用されるリスクを低減することができます。
さらに、大切なファイルへ社外からアクセスした履歴を管理することができます。
ファイルを社外で閲覧する場合は、権限が必要になります。
ファイルが流出しても、悪用されることなく削除が遠隔からできます。
基本的に、ファイル暗号化ソフトを使ったファイルを閲覧する場合は、ネットに繋がる環境で、しかも閲覧用プログラムでのみ可能です。

【セキュリティ】暗号化技術の種類

暗号通信は、相手と確実で安全な通信をネットなどの環境において実現することが目的です。
ネットなどの環境というのは、通信する内容を多くの第三者に妨害されたり、盗み見されたりする恐れがあるということです。
つまり、攻撃を悪意があるいろいろなタイプの第三者から受けた場合でも、耐える必要があるということです。

第三者に悪意がある場合は、攻撃をいろいろ仕掛けてきます。
このような攻撃に耐えて通信を相手と秘密を守って行うためには、通信するデータ内容を単に暗号化するのみでは十分ではありません。
暗号化の目的が第三者が通信するデータ内容を読めないようにすることのみであれば、通信するデータ内容を暗号化するのみでいいでしょう。
暗号化をきちんとしたデータ内容であれば、第三者は暗号鍵を持っていないので解読できないためです。

しかし、通信するデータ内容を暗号化するのみでは、データ内容を通信している途中で改ざんする攻撃や通信する相手を騙すなりすましの場合にはほとんど効果がありません。
通信するデータ内容を暗号化しても、暗号鍵をもともと通信する相手になりすましている第三者に渡すと全く意味がありません。
データ内容が通信している途中ですり替えられたり、途中のデータ内容が通信が妨げられて抜け落ちたのが分からなかったりする場合もあります。
通信をこのような攻撃から守るためには、相手を通信する前に確認したり、相手から送られてきたデータ内容に必ずなっているかを確認したりする必要があります。

しかし、このような目的のためには、共通鍵暗号というデータ内容を暗号化するのみでは十分ではありません。
そのため、通信の場合には、他の暗号技術である公開鍵暗号や一方向暗号というものを併用します。

このような他の暗号技術は、共通鍵暗号とは性質が違っているので、共通鍵暗号の場合には防止できないような攻撃に対しても対応できます。
公開鍵暗号や一方向暗号についての詳しい内容についてのは、ネットなどでも紹介されているため確認してみましょう。

【セキュリティ】csvファイルなどのパスワード忘れに注意

大切なcsvファイルなどをメールに添付して送る場合は、送るファイルが万一誤った送信先に送られたり、盗み見されたりすることによって、内容が漏洩する恐れがあります。
では、このようなリスクを防止するためにはどうすればいいのでしょうか?
このようなリスクを防止するためには、パスワードロックをメールに添付するファイルに掛けるのが最もおすすめの対策になります。
では、どうしてパスワードロックがメールに添付するファイルには必要なのでしょうか?
というのは、メールには情報が漏洩するリスクがあるためです。

メールというのは、郵便をネットで送るようなものです。
ファイルやメッセージを特定の相手に送る場合には便利であるため、プライベートやビジネスなどの場合に幅広く使われています。
メールは、すでに一部の社会インフラとしての役目があると言ってもいいくらい頻繁に使われていますが、情報が漏洩するリスクがメールにはあります。
メールは、人から人へ専用のサーバーであるメールサーバーと言われるものを通して送られるようになっていますが、情報をこの過程で盗み見ることが技術的にできます。

また、間違って送信するところのメールアドレスを入力すると、違った相手に届く恐れもあるので、メールに大切なファイルを添付して送る場合にはセキュリティ対策を何等か行うことが必要です。
そのため、メールに添付して送る大切なファイルには、ロックをパスワードで掛ける方法がおすすめです。

これであれば、メールを間違った相手に送ったり、盗み見されたりした場合でも、メールに添付したファイルが見られる恐れが少なくなります。
そのため、有効なセキュリティ対策になります。

メールというのは、間違って送られるものである、盗み見されるものである、という意識を持っておきましょう。
そして、情報がこのような場合でも漏洩しないように、基本的にパスワードロックの対策が必要があるということを知っておきましょう。

【セキュリティ】ファイルに設定するパスワードのルール – Adobe Acrobatの場合

ファイルを作成した場合には、情報漏えいを防止するために、パスワードを設定する必要があります。
では、作成したファイルにはどのよういパスワードを設定するといいのでしょうか?
ここでは、Adobe Acrobatでパスワードを PDFファイルに設定して、ファイルを編集したり、印刷したりするなどの機能の特定のものを使えなくする方法についてご紹介しましょう。
パスワードとしては、種類が3つあり、それぞれ制限されている内容が違っています。
なお、パスワードを万一忘れると、ファイルを閲覧したり、編集したりすることができなくなります。
そのため、万一パスワードを忘れた場合のために、別の安全なところにパスワードは保管しておくようにしましょう。
Adobe Acrobatの場合には、パスワードとして、ファイルを開くもの、権限のもの、添付したファイルを開くものの3つの種類が設定できます。

  • ファイルを開くパスワード
    パスワードを入力することをPDFファイルを開く場合に要求し、特定の人のみがファイルが開けられるように、ファイルを閲覧するのが制限できます。
    なお、このパスワードは、添付したファイルを開くものを使うと設定ができません。
  • 権限パスワード
    権限パスワードを使った場合は、編集したり印刷したりすることが制限でき、セキュリティ設定はパスワードを入力しないと変更ができません。
    パスワードとしてファイルを開くものと権限のものの両方が使われている場合は、ファイルはいずれのパスワードでも開けます。
    しかし、権限パスワードが、機能制限を変更したり設定したりする場合には必要です。
  • 添付したファイルを開くパスワード
    添付したファイルは、パスワードの指定したものが入力されなければ開けられません。
    パスワードの添付したファイルを開くものを設定するためには、「Acrobat X およびそれ以降」あるいは「Acrobat 7.0 およびそれ以降」をオプションの 「互換性のある形式」で選んだ上で、「添付ファイルのみを暗号化」を選ぶことが必要です。

【セキュリティ】個人情報をファイルで管理する際の主なツール

個人情報(氏名、メールアドレス、電話番号など)をファイルで管理する際には、情報漏洩に注意が必要です。
ここでは、個人情報をファイルで管理する際に、情報漏えいを防止するための主な情報漏えい対策について紹介していきます。

情報漏えい対策ツールとしては、IPA(独立行政法人情報推進機構)がサービスしているものが参考になります。
この情報漏えい対策ツールは、情報漏えいをファイル共有ソフトを使用している場合に防止するためのソフトです。
例えば、この情報漏えい対策ツールを会社や自宅にある共有のパソコンにインストールすることによって、ファイル共用ソフトをそのパソコンにおいて使うこと防ぐことができます。
情報漏えいのファイル共用ソフトからのものを防止するためには、次にご紹介するような対策があり、このような対策と組み合わせることが有効でしょう。

  • ファイル共用ソフトは、漏えいすると問題になるような情報を扱うパソコンには使わない
  • 職場のパソコンにソフトを許可なく使わない、あるいは使えないようにする
  • 外部に職場のパソコンを持ち出さない
  • 私有のパソコンを職場のネットワークに接続しない、あるいは、接続できなくする
  • 職場のパソコンから情報をCDやUSBメモリなどの媒体にコピーしない、あるいは、できなくする
  • 漏えいすると問題になるような情報をメールで許可無く送らない、あるいは、送れなくする
  • ウイルス対策ソフトをインストールして、ウイルス定義ファイルの最新のもの監視を常にする
  • 疑わしいファイルは開かない

対策としては、パソコン利用している人自身ができるもの、上司が行うものがあります。
また、職場の規則を変更したり、設備やネットワークシステムを変更したりするものもあります。
組み合わせるのはどのような対策にするかは、漏えいした際の影響と扱う情報、コストなどを考えてトータル的に検討する必要があります。

ちなみに、会社などにおいてどのような対策を個人情報などの漏えいを防止するために行う必要があるかについて対策のポイントを、詳しく紹介しているようなサイトもあります。
このような対策のポイントをチェックし、未然に個人情報のトラブルの発生を防止しましょう。