月別アーカイブ: 2016年3月

セキュリティとプライバシの、近くて遠くて近い関係

日本クラウドセキュリティアライアンス 業務執行理事
勝見 勉

数日前、ちょっと興味ある調査レポートを見つけたので、ご紹介します。タイトルは”How IT and Infosec Value Privacy”というもの。直接訳せば「プライバシにとってITと情報セキュリティはいかなる価値があるか」となります。ちょっと私の思いも加味して、このようなタイトルに変えてみました。

調査は、IAPP(International Association of Privacy Professionals)とTRUSTeが2015/12~2016/1に実施したもので、550人以上の専門家に対するアンケート調査結果をまとめたものです。専門家の内訳は、プライバシ関係が65%で、ITと情報セキュリティを合わせて35%の比率です。

ここで、この両者って、そんなに厳密に区別されているものなの?という疑問が、早くも湧くかもしれませんね。はい。多分この調査の主対象であるアメリカでは、あるいは多分ヨーロッパでも、両者はかなり別のものとして認識されているようです。調査内容を紹介していくと、ちょっと垣間見えてきます。でも、日本では、「プライバシ」と「個人情報」を余り区別して考えてないですよね。そして情報セキュリティと言えばほとんどの場合、個人情報漏洩対策がイコールのイメージになっている、っていう感じがしませんか?この辺からして、日本の感覚は違うのだと感じています。

ちょっと脱線ですが「個人情報」には「個人識別情報」と個人に関わる「機微情報」または「秘密情報」(まとめてほぼイコールプライバシ情報)とがあります。個人識別情報は、一般的には、個人と社会との接点で個人を識別するために必須の情報で、必要に応じて提供し、提供を受け、開示し、伝達し、記録されます。これを拒むと、社会生活はなかなか厳しいことになります。

一方で、個人識別情報といえども、他の情報と組み合わさることでプライバシ情報に転化します。ここが個人情報のややこしいところですが。例えば電車の定期券を買うのに、氏名住所生年月日などを提出します。個人識別ができないと定期券は発行できないからです。一方、氏名住所と、どこからどこまでの定期券かを組み合わせると、その本人の居住地域や勤務先の所在地がある程度推測できます。この辺からプライバシに関わる要素が出てくるので、電鉄会社は定期券の発行情報を、管理すべき情報として扱う必要が出てくる訳ですが。一方で、この両者が結び付くことで、落とした定期券が持ち主に戻ってきたりすることも可能になるので、やたら匿名化すればいいというものでもない、というところも、理解できると思います。

閑話休題。この調査はまず、「プライバシと情報セキュリティは重なる部分も別々の部分もある。ちょうど鎖の輪か、「ベン図」のように」と言っています。では両者は組織の中でどのように協業できるのか?ここから調査の問題意識は始まる訳です。(ところで日本では、両者が別のチームになっている組織ってかなりまれだろうとは思いますが。。。)

一番鍵となる質問「情報漏えい事故への対策として何が重要ですか?」に対しては、総合1位の答えは「プライバシチームとセキュリティチームの間のコミュニケーション」でした。第2位には「インシデントレスポンスへのプライバシチームの参加」となり、両者間の緊密な連携が最重要視されています。更には、情報漏洩対応専任チームの設置も重要度大となっています。プライバシとセキュリティが別のチームであったり、セキュリティ(インシデント)でなく「情報漏洩対応専任」チームの存在であったり、日本の実情とは大きくかけ離れた、先進的取り組みの実態を見る思いですね。

また、データを最小に保つことや、データの棚卸しとマッピング、つまりどんなデータがどこにあるかを把握しておくことも、対策チームに次いで高い重要度スコアを得ています。更に、社員に対する教育とトレーニングも重要視されています。教育とトレーニングを分けて考えるところも、示唆に富みますね。単に知識を注入する「教育」だけでは不十分で、それを実践に移せる、いざという時現場での対応に活かせるための「トレーニング」の大切さへの認知が浸透していることを伺わせます。

d

(*https://iapp.org/resources/article/infographic-how-it-and-infosec-value-privacy/ から引用)

さて、もう一つの興味深い分析をご紹介しましょう。「情報漏洩対策の強化に、事故経験と規制当局の関与のどちらがより影響がありますか?」…こちらの答えは意外にも、日本の事情と似た結果になりました。すなわち、事故経験よりも規制当局の関与の方が効果があるという結論になったのです。

事故を経験した結果では、対策重点は余り変わりませんでした。チーム間コミュニケーション、従業員や役員のトレーニング等々。一方、規制当局との何らかの接触を経験した場合は、プライバシ対策費を増加させたり、チームを増強したり、プライバシープログラムの充実を図ったりしています。当然にも規制当局との関係強化に動く一方、意外にも、個人のプライバシ資格取得や、外部の専門家の活用には余り積極的になっていない、との分析結果が紹介されています。

b

(* https://iapp.org/resources/article/how-it-and-infosec-value-privacy/ から引用)

より詳しい内容を知りたい方は、以下のサイトにアクセスしてみてください。フルレポートが載っています。また要約版サイトへのアクセスも載っています。

https://iapp.org/resources/article/how-it-and-infosec-value-privacy/

アメリカでは、プライバシ対策の認知は日本より浸透しているようです。そしてその面では、規制当局の存在や関係構築に対する意識も強いようです。日本はどのように成熟していくものやら。やっとプライバシーコミッショナーも置かれたところなので、これからなのかも知れません。

ドイツに学ぶ科学技術政策

日本クラウドセキュリティアライアンス 業務執行理事
諸角 昌宏

今年のCSA Japan Summit 2016(5月24日開催)では、テーマを「サイバーフィジカルセキュリティを支えるクラウドセキュリティ」とし、IoT、Industry4.0、およびそれらを支えるクラウドセキュリティについて、欧米の動向、日本の状況、CSAおよびCSAジャパンがどのように取り組んでいるかを幅広くお伝えすることになりました。Summitに向けて、Industry4.0、はたまたドイツで何故Industry4.0が始まり成功しているのかを知りたいと思ったところ、ちょうど、2月26日の「21世紀構想研究会」において永野博氏の「ドイツに学ぶ科学技術政策」という講演を聞くことができましたのでその内容をレポートする。

  1. ドイツとは
    まず、ドイツという国がどのような状況なのかについて、科学技術の観点から触れました。

    • ハイテク産業の輸出額が着実に伸びている。特に、ミドルテク(中規模の会社の技術)の伸びが非常に高い。これは、Industry4.0が中小企業の輸出を支援する政策、つまり、中小企業が負けないように新技術を支援しているところが大きい。
    • GDPに占める輸出の割合が、ドイツは日本の2.7倍。日本が14.6%なのに対して、ドイツは39.2%。
    • 近代的な大学として、教育と研究を一体的に推進している。これにより、国民国家に貢献できる人材育成を行い、大学が社会における知識生産の最大の拠点になるという新しいモデルを実現している。
    • 首相のリーダーシップ(メルケル首相)で、教育を支援している。研究、イノベーション、創造性のみがドイツの生活水準を維持できるという考え方を持っている。メルケル首相が注目されているが、その骨格を作ったのはシュレーダー首相で、ドイツが悪い時代であった1990年代に「アジェンダ2010」を作成し、2010年を目指した戦略を立てていた。これが、現在のメルケル政権下のドイツとなっている。
    • 研究・イノベーション協約が連邦と州政府で結ばれていて、健全な財政かつ研究/教育への投資が約束されている。
    • ハイテク戦略を2006年から進めている。IoTは、ドイツでは2005年から進められている。2012年になって新ハイテク戦略として「デジタルへ対応する経済と社会」というIndustry4.0イニシアチブとしてスタートし、これがドイツでの最優先課題となっている。最近IoTが騒がれているのに比べて、10年以上前からIoTを促進している。
    • 産学公連携のシステムは世界で傑出している。新しい政策の決定を、政治家と科学者が一緒になって行っている。自分たちが社会を作っているという意識が高い。
    • 国を挙げてPhDを養成している。
  2. 日本への示唆
    上記のようなドイツの状況を踏まえての日本に対する提言として、いくつか挙げられていたが、その中で印象に残るものを以下に記述する。

    • 知的なものへの敬意を示すことが必要ということで、研究/教育に対する充実した投資が必要。また、政策の作成に当たって、政治家と科学者が同じテーブルで協議していくように、自らが社会を作っているという意識ができるようにしていくことが必要。
    • 強いリーダーの存在が必要。ドイツでは、戦後の首相の数が8人で、強いリーダーシップのもと政策を行っている。
    • 社会全体が若手を信頼するという発想をもち、若者を大事にする教育をおこなう。
    • 若い人に外を見る環境、世界を見る能力を植え付けるようにする。
    • 生涯教育ができる体制が必要。IoTでは、産業構造の変化により今まで行っていた仕事自体が変わらなければならなくなる。これに対応できるように生涯教育を整備する必要がある。

以上のように、Industry4.0を着実に進めているドイツには、国として力強い背景があることがわかった。今後の日本を考える上で、多少なりとも参考になれば幸いである。

以上