WEBマガジン

「”情報セキュリティ元年” ~日本の情報セキュリティの夜明けゼヨ!~」

2015.01.14 株式会社オージス総研  礒部 大

Keywords:マイナンバー、特定個人情報、パーソナルデータ、プライバシー情報、ISMS、サイバーセキュリティ基本法

我が国に情報セキュリティの大きな転換点が来ようとしています。情報セキュリティの強化というと、正直「またか!」と思う人も多いのではないでしょうか?
「情報セキュリティが大切なことも、事故が発生したときの被害が大きいことも分かっている。ベネッセのような事件は怖いが、"ウチ"に限っては万全とは言わないまでも、経費が厳しいなかまずまず世間並みの対策もしているし、業務多忙のなか注意も払っている。実際、軽微なインシデントは発生しているものの、重大事故は起こっていない。この上、また警鐘を鳴らされてもどうしろというのかっ!?"IT屋"のプロモーションもいい加減にして欲しい...。」
そんな風に考えるのも、当然だと思います。そう、守るべきモノが同じであれば...。

・守るべきモノの増加

目前に迫ってきたマイナンバー制度の施行では、個人をユニークに特定できる個人番号(以下、マイナンバー)が全国民に付番されます。このマイナンバーを含む個人情報を特定個人情報と呼び、行政機関では厳正な管理が義務づけられたうえで、社会保障のほか徴税等の事務に活用します。マイナンバーは個人をユニークに特定できる識別情報なので、例えば、引っ越しによる個人の移動も確実に追跡できたり、個人の所得が分散していても正確に把握・集計することが可能になったり等、行政事務が革命的に効率化すると期待されています。また、行政サービス以外では、金融機関等での本人確認にも活用される見込みです。一方、従業員を雇用する企業では、給与厚生関連業務を中心に影響を受けます。具体的には、源泉徴収票等の各種書類にマイナンバーを記載する等の対応が必要になり、大企業であれば多数のマイナンバー情報を管理することになります。ですので、企業は従業員のマイナンバーを厳正に管理するため、情報セキュリティの一層の強化を迫られるようになると思われます。

ところで、権利の範囲は固定されたものではありません。写真と印刷技術の進歩にともない肖像権の概念が発生し、個人を尊重する意識の高まりからプライバシー権が発生し...等々、科学技術の進歩、社会の発展にともない保護すべき権利の範囲も拡大してきました。
既存の保護対象も永遠に変化しないと考えることも危険です。例えば、個人情報とは、個人を識別する個人識別情報と機微情報の2種類の情報から成りますが、個人識別情報を構成する氏名、住所、年齢、性別といういわゆる基本4情報を拡大して考えるべきという議論もあるようです(後記 表2 参照)。
また、位置情報のようにこれまでは活用する価値や方法が無かった情報も、IT技術の進歩により他の情報との組み合わせることで個人を特定することが可能になり、活用価値を持つに至ったという例もあります。
つまり、守るべきモノは増加しているのです。

・国際的動向

国際動向に目を転じると、情報保護に係わる規制等は次の表1のようになっています。

表 1 各国等の情報保護関連ルール等([1][2]より改編し転載)
各国等の情報保護関連ルール等

※1:独立した第三者機関は存在しない
※2:主務大臣による事業者への行政命令が基本。利用者の直接的な救済は民法ベースで裁判所が判断

さらに、EUデータ保護指令は、現在、保護内容の強化及び「指令」より拘束力の高い「規則」への"昇格"を目指し、一般データ保護規則への変更が検討されています。EUデータ保護指令と一般データ保護規則案を比較すると次の表2のようになります。

表 2 EU保護指令と一般データ保護規則案比較([1]より一部修正し転載)
EU保護指令と一般データ保護規則案比較([1]より一部修正し転載)

※データ主体とは、「識別された、又は識別され得る自然人」([3]より)

諸外国と我が国の保護関連ルール等を見比べると、諸外国の規制の方が厳しいような印象を受けます。さらに、我が国では安倍政権が経済活性化のため積極的な利活用を促す姿勢を打ち出しており、法制度整備もその方針で進められていますので、今後その印象は強くなるものと思われます。
法制度整備の概要としては本人の同意を要しないパーソナルデータの類型を定め、企業等が躊躇なくパーソナルデータを利活用でき、同時に消費者が不安を感じないよう利活用する企業の義務等も定めるというものです。予定では、それら関連法案は2015年年明けの通常国会で審議されます。
国民性や国情等の背景により、守るべきモノの認識が異なるのは当然です。欧米は一般的に個人の権利意識が高い文化・国民性とされます。ですので、上記、EUデータ保護指令と一般データ保護規則案は、我が国より厳しく規制される印象があると思われます。我が国は経済再生が至上命題という事情もあり、上記のような規制内容・方針となっているのかも知れませんが、逆に積極的に利活用するがために後記「我が国における政府の取り組み」で述べるような保護強化を図る施策も並行して準備されているとも考えられます。あるいは、積極的に使いながら情報を保護する方が、セキュリティの要求水準は高くなるのではないでしょうか?
ただし、国際的な経済活動を考えると今後、諸国で異なる現在の規制内容が、グローバルスタンダードと呼ぶべき最大公約数的なルールに収斂していくことも考えられます。その場合、情報セキュリティのグローバルスタンダードに準拠しない国、企業は著しく国際的な活動を制限される恐れもあることから、我が国の関連法規が再度見直されないとも限らず、継続的に注視する必要があります。

・我が国における政府の取り組み

我が国政府の直近の動向としては、2014年秋の国会(第186回 臨時国会)で『サイバーセキュリティ基本法(以下 基本法)』を成立させました。この基本法では、サイバーセキュリティの基本理念および関係者の責務や戦略として規定すべき事項の明確化がされる他、内閣にサイバーセキュリティ戦略本部を設置するとともに今後人材育成に向け努力することが定められています。サイバーセキュリティ戦略本部は、既存の内閣官房情報セキュリティセンター(NISC)の上位に位置を占め、「高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)」等関係機関と連携、役職では次官級ポストとして新設される内閣サイバーセキュリティ官が政府CIO及び政府CIO補佐官および内閣官房情報セキュリティセンター内に任命される内閣官房情報セキュリティ補佐官と連携しながら我が国の情報セキュリティ強化を図るものと思われます。

・問題提起

情報セキュリティの認証にはISO27001準拠のISMS(情報セキュリティマネジメント認証)があります。しかし、情報セキュリティの重大事故を起こした企業の大部分が認証を取得しているのは皮肉なことです。しかし、社外に情報セキュリティ管理の整備状況を証明するにはISMS認証は客観的評価結果として依然有効です。
一方、組織規模が小さい企業ではISMS認証を取得し、維持し続けるのは負担が多く、取得に踏み切れないことも多いのではないでしょうか?近年、ISMS認証を継続しない企業も増加しており客観的認証より、実効性の高い施策を機動的に実施して行きたいと考える企業の潜在的要望が窺われます。

・弊社の取り組み

弊社はこれまでJ-SOX法関連のコンサルティング、情報セキュリティの社内制度導入支援等を行ってきました。その中には、金融庁検査に備えて社内の情報セキュリティ関連の規定文書、分析様式、管理台帳等の一式を丸ごと作成し直すというものもありましたし、ISMS認証は取得しないが実効性において同等の管理制度を構築したいとか、社内の情報セキュリティ管理体制のうち陳腐化が激しい部分だけ最新の知見で見直して欲しいというものもありました。これらの実績を活用し、組織規模が比較的小さな企業でも"一通り"の規程文書、分析様式、管理台帳等が早急かつ低労力で整備できるコンテンツの開発を急いでいるところです。このコンテンツが、自転車の補助輪のように情報セキュリティ管理制度の構築を急ぐ企業の歩みを支えることを期待しています。
ご興味、関心のある方は、本ページ中の〔お問い合わせ〕から、ご連絡頂ければ幸いです(本記事へのご意見、ご質問等でも結構です)。

以上のように、守るべきモノが増え、諸外国の規制強化の動きがあり、さらに政府や社会の目も厳しくなるなか、来年度以降、情報セキュリティに要求されるハードルが一挙に高くなるという蓋然性は強いと言わざるを得ません。そして、その要求水準の差は、後年、振り返ると2014年までの情報セキュリティはなんと牧歌的であったことだったか、と思えるほどになるかも知れないのです。
海に囲まれた我が国にとって、脅威とは常に海の向こうからやって来ました。元寇、黒船etc....。そして、今度の脅威はインターネットの海の向こうからやって来ようとしているのです。

[参考資料]

[1]高崎晴夫,「個人情報保護にかかわる法制度をめぐるEUの状況」『情報処理』,情報処理学会,2014.vol55 No.12
[2]石井夏生利,「アメリカのプライバシー保護に関する動向」『情報処理』,情報処理学会,2014.vol55 No.12
[3]総務省,「資料 EUデータ保護指令仮訳」http://www.soumu.go.jp/main_content/000196313.pdf

[推薦資料集]
本記事に関連した内容を更に深く調べたい場合の政府関連資料の入手先です。

・パーソナルデータ法制度関連
パーソナルデータに関する検討会 決定等(http://www.kantei.go.jp/jp/singi/it2/pd/)
(IT総合戦略本部のHPからも辿ることができますhttp://www.kantei.go.jp/jp/singi/it2/
同HPからはアベノミクスならぬ「新たなIT戦略(安倍ビジョン)」の資料も参照出来ます
http://www.kantei.go.jp/jp/singi/keizaisaisei/skkkaigi/dai6/siryou12.pdf )
・マイナンバー制度関連
社会保障・税番号制度(http://www.cas.go.jp/jp/seisaku/bangoseido/ )
・サイバーセキュリティ基本法関連
サイバーセキュリティ基本法の概要(http://www.nisc.go.jp/conference/seisaku/dai40/pdf/40shiryou0102.pdf )
※条文は衆議院、参議院のHPで参照できます(下記URLは参議院のもの)http://www.sangiin.go.jp/japanese/joho1/kousei/gian/186/meisai/m18605186035.htm
・個人情報保護法
首相官邸(http://www.kantei.go.jp/jp/it/privacy/)houseika/hourituan/
経済産業省(http://www.meti.go.jp/policy/it_policy/privacy/)
消費者庁(http://www.caa.go.jp/planning/kojin/index.html)
※同法の改正の大綱は上記 パーソナルデータに関する検討会 のHP中にある下記URL参照
http://www.kantei.go.jp/jp/singi/it2/pd/dai11/siryou1.pdf
・関連事件の雑誌記事
『特集1「Suica履歴販売」は何を誤ったのか』,日経コンピュータ,2013/10/17号

執筆者について
礒部大 公認システム監査人(CISA),中小企業診断士,元国立公文書館CIO補佐官
株式会社オージス総研 コンサルティング・サービス部 所属

*本Webマガジンの内容は執筆者個人の見解に基づいており、株式会社オージス総研およびさくら情報システム株式会社、株式会社宇部情報システムのいずれの見解を示すものでもありません。

『WEBマガジン』に関しては下記よりお気軽にお問い合わせください。