このページは失敗学会員個人により構成されたもので、その内容については
失敗学会の正式見解でも、失敗学会が同意を表明するものでもありません。
 

よろしくお願いします!


ごあいさつ


個人情報保護有識者会議 所属
 マイナンバー対応上級個人情報保護士
 個人情報保護監査人
です。
(セキュリティキャンプを修了(2009年)し、
心理カウンセラー・インストラクタ資格も持っています。)
大学生の時から個人情報の適正流通に取り組んでいます。

因みに公言していますが、自閉スペクトラム(旧名アスペルガー症候群)当事者としての活動もしています。

セキュリティキャンプ参加者のブログが続々と出てきたようです(2017.9.24)



セキュリティキャンプという、22歳までの学生がお盆の時期にセキュリティ漬けになるイベントがあります。今年も沢山の参加者の学生がブログを上げているようです。出る杭になろうと頑張っている人は、とてもキラキラしていて元気を貰えます。是非皆様も検索して「ジャンプジャンプしている学生」を見てみてください!

他団体・学会に加入しました(2017.8.19)


先日ですが、(NPO)日本自閉症スペクトラム支援協会・日本自閉症スペクトラム学会に加入申請をし、加入承認を受けました。
自閉スペクトラム当事者として、日本における自閉スペクトラムの理解と支援・対策発展に少しでも寄与できたらと思います。また、この協会や学会で培った物を失敗学に、また、その逆方向にもいかしていきたいと思います。
何足もわらじをはいていますが、興味の赴くままにやってみたいと思います!

JIS Q 15001改正案の意見公募がスタート(2017.8.6)


個人情報保護マネジメントシステムやPMSを作るためには、規格を活用することが安全で簡便な方法です。これは他の分野でも同じかと思います。「改正個人情報保護法と私が想定する失敗-匿名加工情報編-(2017.2.23)」で「近々(今年中)にはJIS Q 15001の改正案がでる」と書いたはずですが、気づいたら意見受付公告がJISから出されていました。

今現在のJIS Q 15001は2006年に策定されたもので、超小型の大容量記憶媒体、スマートフォンといった物が想定されておらず、また、規格自体解釈の幅が広いため誤解を招くことがありました。
今回、ざっとになってしまいましたが改正案を読んでみて思ったのが、
@定義や文章の記述が丁寧かつ網羅的で、解釈の誤解が生まれにくいのではないか
Aリーダーシップなど、現行版にない項目が多々追加されているため、ボリューミー
だと思いました。実務をされている方なら、正直な話、この改正案だけで十分対策できるほど丁寧かつ網羅的で、解説書などがなくてもPMSが作れるのではないでしょうか。

ただ、これはしっかりと読んでいないので断定はできないですが、丁寧な記述過ぎて、マネジメントのやり方や会社の文化の違いを考慮に入れられず(というよりも現場を知らない経営陣が無理に「JISQ15001とやらを守れ!」と言ってしまい)、「遊び」が無いPMSになるという失敗を予測しています。

強調して伝えたいのですが、JISQ15001は法律ではないので、全て守る必要はありません。むしろ、自組織に必要な物だけをピックアップして採用すれば良いのです。ただ明らかな過失の場合は責めに問われるケースもありますが、これは個人情報保護法上の義務や努力義務を行ったかどうかの判断基準に、ガイドラインやJISが根拠になる場合です。つまり、個人情報保護法上の義務としてJISを根拠にするケースはありますが、自組織の文化や業態に合わせて本JISを部分的に参考にしていくのが、本JISの目的です。

個人情報漏洩は企業の信頼や業績に致命的な影響を与えるので、絶対起こさないように、特に経営陣や企画部門、情報システム部門はピリピリとされていると思います。ただ、是非お伝えしたいのは、「個人情報保護法は絶対守り」「JISQ15001は自組織を考慮し必要な物だけ参考にする」と、法と規格の役割を明確にして、現場の方が仕事がやりやすいようにある程度の「遊び」を設けたPMSを作っていくと、利益を出しやすく、個人情報保護に協力してくれる現場を作れるのではないかと考えています。



バイオメトリクス認証の問題点と本人認証の新たな仕組み(2017.6.7)



※追記(2017.6.15)

マイナポータルとLINEが連携すると、LINEカンファレンスで正式発表がありました。ログインやマイナポータルと連携すると事前報道がありましたが、要はマイナちゃんというマイナポータルの公式キャラが、LINE上の会話形式で最適な情報を教えてくれるとのことです。端的に言えばリンク集のようです。LINEに対してマイナンバーを教えることはなく、あくまで会話内容で申請書類の場所をマイナちゃんが教えてくれるだけの機能なようです。
マイナちゃんとLINE上で友達となる形とも発表がありました。様々な所で「LINEからマイナンバーが漏れる」と心配の声が挙がっていますが、そういったことが起きる可能性よりも、「フィッシング詐欺」や「LINE乗っ取りによりマイナちゃんとの会話履歴が漏れる」可能性の方が遙かに高いと思います。

-----------以上追記-----------


先日、マイナンバー関係で大きなニュースが発表されました。マイナポータルのログイン、または、マイナポータル上の行政サービスがSNSと連係するというニュースです。テレビ朝日(http://news.tv-asahi.co.jp/news_politics/articles/000102236.html)を始め、様々なニュース媒体で発表されました。Twitterや掲示板サイトでも大きな反響がおき、拒否感が多々起きているようです。ITmedia(http://www.itmedia.co.jp/news/articles/1706/02/news113.html)にLINE広報の公式発表が載っていますが、「政府との交渉も含め、何も決まったものはない」とLINE広報は発表しています。ネット上では、未確定情報が、さも確定的に載ることも散見しました。政府もLINEも公式にはこれ以外何も発表をしておらず、私たちは冷静になってマイナンバーと関わっていくことが必要だと感じます。

時に国家は国民の反応を見るために、報道機関を通して、「関係者によると」などといった言葉を使い流布させ、反応を見ることがあることが指摘されています。これはあくまで未確定と強調しますが、SNSとの連係について議論がなされている可能性はあります。
しかし、SNS連係に関して、まだ情報が少ないため、私は賛否を書くことを今現在では致しませんが、私の過去記事(マイナンバーの民間開放と各国国民ID制度の比較 (2016.12.5))にて、「民間開放を焦ると国民に拒否感が出る」と指摘しました。ヤフーニュースのコメント欄やSNSなどで、案の定、今回の報道で拒否感が非常に多く上がっています。失敗予測が現実になってしまうのはとても悲しいことです。

今回のSNS連係については情報が極めて少なく、かつ、不確定な情報が散見しています。
情報を整理すると

  1. LINE広報の公式発表があり、公式には否定している(ITmedia)

  2. SNS連係においてLINEで確定しているのではなく、LINEは候補の一つである(テレビ朝日)ただ、LINEと断定している報道(日本テレビ)もあるので、慎重に判断


と整理させて頂きたいと思います。


今回のニュースでは、マイナンバーカードをスマートフォンにかざし(恐らくNFCの事を言っていると思います)、SNSアプリと連携したログイン本人認証に使うと報道にありました。認証の方法も古い古典的な方法から、最新の技術を盛り込んだ方法まで様々なものがあります。
そこで、私なりの本人認証方法の分類を記述したのち、生体認証の問題点や最新の本人認証を紹介したいと思います。


  1. I Have認証(所持)

  2. I Know認証(記憶)

  3. バイオメトリクス認証(生体認証)

  4. ライフスタイル認証(振る舞い認証)



の上記4点で私は本人認証の整理をしています。

1のI Have認証の例として、社員証、入館証、鍵などが該当します。「本人が持っている」ことで本人と判断する方法です。
2のI Know認証では、暗号、パスワード、秘密の質問などが該当します。「本人が知っている」ことで本人と判断する方法です。
3のバイオメトリクス認証の例として、指紋、静脈、虹彩などが該当します。「本人の生体的特徴」で本人かどうか判断します。個人情報保護法の第一号個人識別符号関係でもあります。
4のライフスタイル認証は比較的新しい認証方法です。東京大学の山口特任准教授が提唱し、Googleを始め、セキュリティの先進技術を導入している企業でも独自開発されています。本人の行動パターン等を元に、本人かどうかを判断します。例えば、A氏は海外に行ったことがなく、スマートフォン、パソコン、タブレットいずれもGPS取得情報が日本国内しかないのに、海外でログインしようとした形跡が見つけたらブロックする、または、自宅と思われる場所で、同一時間帯にいつも端末でログインしている場合等を分析し、本人かどうか判断する方法です。

その中で、3のバイオメトリクス認証の問題点について、指摘したいと思います。今回は、バイオメトリクス認証の中でも一番身近な指紋認証に絞って記述します。
指紋認証は、ここ数年でとても身近な認証方法となりました。以前から使われていたのは、顧客管理システム・機密情報管理システムへのログインや、銀行での最も高額な入金といった、限られた環境や人において、特に高いレベルの本人認証を必要としている時に用いられていました。

しかし、最近ではスマートフォンやパソコンのログインに用いられており、元々高いレベルでの本人認証技術としての目的(機密性)が、ワンタッチで簡単にログイン出来るという目的(利便性)にも用いられるようになっていきました。私も恩恵を頂いており、「iPhone」、「iPad Pro」、「MacBook Pro」、「様々なiOSアプリやWebサイト」でのログインに指紋認証方法を使っており、セキュアというより簡単なログイン方法として使っています。

しかし、依然としてセキュアで便利という生体認証至上主義(生体認証は極めてセキュアで便利なので、高い機密性が必要な業務・システムなら必ず使うべき)が現在進行形で進んでいるように思います。残念ながら、これは失敗に繋がる危険な考えであるように私は考えています。
今回は指紋認証のデメリット・危険性について2点ご説明します。
「指紋データをインジェクションされてしまったら無意味」
「パスワード等と違い、漏洩しても変更できない」
の2点です。

「指紋データをインジェクションされてしまったら無意味」についてですが、指紋データという一見セキュアに思えるものでも、所詮データです。指紋さえ手に入れてしまえば、非常に桁数の多いパスワードと同じです。指紋はパスワードと違い、日常生活のあらゆる所に痕跡を残します。例えば、デスクやマウス、コップなどといったものに触れば残ります。また、写真のピースサインでも、画質の良い写真なら取得できます。一方、パスワードをこのように扱う人はいないと思います。指紋を符号化して、ログインシステムにインジェクションすれば、パスワードのインジェクションと全く変わりません。

「パスワード等と違い、漏洩しても変更できない」については、指紋というのは、パスワードと違い、人間の身体の一部であるので、漏洩しても変更ができません。つまり、一度漏洩してしまったら、あらゆる指紋認証の場面で一生使われてしまう危険性があります。私は、これこそがバイオメトリクス認証の最大の欠陥であり、かつ、あまり危険性が指摘されていない問題点であると考えています。

本人認証の手段は、対面する事が少なくなったIT社会にとって重要な方法ではありますが、生体認証至上主義のような、生体認証さえ使えば安全という、こちらこそ危険な社会を今現在も構築し続けています。

最近の認証では、多要素認証と言われる、例えば、I Have認証とI Know認証を組み合わせるといった複数の方法を用いた本人認証が主流になっています。また、Yahoo! Japanが開発したSMSを用いたパスワードを用いないログイン手法、パスロジック社やジャパンネット銀行が導入している、パスロジ方式やそれと似た認証パネル方法、人の行動パターンや端末のGPS情報を用いたライフスタイル認証や振る舞い認証など、新しい認証方法が多々実用化されています。

マイナポータルでの行政サービスでは、今までと違い、対面ではなくなるので、様々な成りすましが増える可能性が予想されます。現に、世界中の国々が同じ道を通って失敗と改善を繰り返しています。日本は後発組なので、民間開放を焦る事なく、先進組の国々から学びながら、ゆっくりと国民とともにマイナンバー制度を歩ませていけばいいはずです。
そして何より、簡単なようで難しいIT社会での本人認証にも、今後スポットを当てていく必要があると考えます。


備忘録(2017.5.23)


環境に左右される原因に着目して失敗を考えるよりも、思考過程というある程度環境に左右されにくい方法で、失敗知見の一般化を目指すのが良い方法かもしれない。

セキュリティキャンプに興味がある方へ(2017.4.28)



セキュリティ・キャンプ全国大会2017(http://www.security-camp.org)の応募が今年も始まったようです。私はセキュリティキャンプ2009(Webアプリケーションセキュリティクラス)を、大学4年生の時に応募し、修了しました。今のセキュリティキャンプは、私が参加したときとは大きく違いますが、私がセキュリティキャンプに参加した「きっかけ」や、「参加中のこと」「参加して変わったこと」、活きるか分かりませんが「私が応募用紙を書く際にアピールしたこと」などを発信して、卒業生として何らかの形での恩返し、キャンプに興味がある人や参加するか悩んでいる人に向けて判断材料になってくれたら嬉しく思います。

「きっかけ」

実は私は参加当時、法学部に在籍していました。セキュリティキャンプ2009で文系の参加者の方は、私の知る限り、私以外いなかったと思います。

大学3年生の時より法情報学ゼミで、個人情報保護を中心に研究していました。個人情報漏洩問題と切っても切り離せないのが、不正アクセス禁止法2条4項の不正アクセス行為(http://law.e-gov.go.jp/htmldata/H11/H11HO128.html)です。いわゆるハッキング・クラッキングと呼ばれているものです。当時の私には、この条文を読んで、クラッキングの具体的なイメージが出来ませんでした。ネットで調べても、具体的なクラッキング行為の方法など無く(当然ですが…)、そもそも、セキュリティ記事の内容が全く理解できませんでした。そこで、大学でセキュリティの授業を取ろうとも考えましたが、法学部生はそもそも授業を取れませんでした。また、仮に取れたとしても大学にはセキュリティを専門にしている先生がいらっしゃらず、困っていました。

また。当時、私は大学生でありながら、大学の非常勤職員として情報システム部門で働いていましたが、ここでも勉強する環境がなく困っていたところ、大学の職員さんがセキュリティキャンプのことを教えてくださり、調べたらとてもハイレベルなことが無料で教えてくださるとのことで応募しました。ある種の大学の限界のようなものを感じ、だったら大学を飛び出してみよう!(今考えたら過去の自分を尊敬します笑)と考え、参加しました。

「参加中のこと」

一番に思ったのが、参加者のレベルの高さと私のレベルの低さの差です。参加初日にマルウェアについて挨拶代わりのグループワークがあったのですが、議論の内容が全く分かりません。異世界に来たような感覚で、初日の共通講義は今後の不安を持ちながら就寝した記憶があります。

二日目から専門講義が始まりました。私は「Webアプリケーションセキュリティ(Webアプリケーション=「Amazonや楽天といったショッピングサイト」、「Gmailや予約サイトといったWeb上で用いられるアプリケーション」等)」を選びました。Webサーバの脆弱性、画像に悪意のあるコードを埋め込み、SQLインジェクションやXSSなどの具体的なクラッキング行為の方法と防御策などを座学と実習で学びましたが、当時、そもそもサーバというモノがよくわからず、コードを埋め込む以前にコードの意味が分からず、SQLに初めて触り、XSSに必要なJavaScriptを書くことすら出来ない有様でした。その一方で、他の参加者の方はサクサクとこなしていきます。当然焦ります。
しかし、私たちのクラスは私含め参加者6人でしたが、講師やチューターの方の方が多く、質問が常にできる環境でした。チューターの方も私の惨状を察してくださったのか、常にサポートしてくださいました。
また、他の参加者の方も優しい方ばかりで、グループを組んだときには、力を貸してくださり、一緒に乗り越えていくことが出来ました。こういった環境に置いていただくと、徐々にですが、自分で考えられるようになってきて、毎回講座中盤から終盤にかけて、理解が出来るようになって、自分の意見も言えるようになってきました。
人に支えていただく、集団で取り組んでいくことの大切さは社会人になると痛感しますが、ここでそのことを学んだように思います。

また、スゴイ先生から直接教えていただけることはとても大きいです。上野さんや国分さんの書かれた記事を参加前に読んでいましたが、そういった方が目の前にいらっしゃって、無料で直接教えていただけることは貴重な経験です。そして、セキュリティをキーワードにして、様々な参加者の方とも出会えたのも財産です。参加者の皆さんも、学校などで勉強したくても出来ないことをキャンプで学びに来た「尖った方」・「良い意味で変わった方」が沢山いらっしゃって、講義外の時間に話すことができたのはとても楽しかったです。

「参加して変わったこと」

第一に、技術的な面でサイバー犯罪を見ることが出来るようになったことです。法学部にいると、どうしても犯罪を法律的な面からしか見られません。参加前は「構成要件が〜」「損害賠償額が〜」など、法的な側面しか見ることが出来ませんでしたが、参加後は「どういった手法で〜」「どの脆弱性をついて〜」「攻撃を受ける前後の技術的環境の変化が〜」といった技術的な面からもみることが出来、法とセキュリティのシナジー効果を活かした研究が出来るようになってきました。法とセキュリティは一見全くの別物ですが、目指すべき方向は全く同じです。視野が広まったように感じました。

第二に、様々な方と出会うことが楽しくなりました。未だに人見知りですが、WASForum、個人情報保護有識者会議、失敗学会、その他様々な場での人との出会いを楽しむことが出来るようになりました。

第三に、私の部屋にサーバが出来ました。参加前はネットブック一台でしたが、今はWindows、Mac、Linux、仮想環境があり、自前でサーバを立て攻撃と防御をするのが趣味になりました。今はサーバのヘルスチェックの自動送信メールやログを見るのが毎日の楽しみです。そして、ネットワークを組み、輻輳実験、マルウェア実験などをしています。私は、今はとある企業の管理部門で働いていますが、趣味が技術者的なことになりました。セキュリティ記事を読むのも大好きです。

「私が応募用紙を書く際にアピールしたこと」

私がアピールしたのは、「なぜセキュリティキャンプでなければだめなのかという現状と熱意」と「今現在、何に興味を持ち勉強しているか」の2点が軸だったように思います。(他にも色々書きましたが)

「なぜセキュリティキャンプでなければだめなのかという現状と熱意」に関しては、きっかけにも書きましたが、
@大学では自分のやりたい研究ができる環境ではないこと
Aスゴイ先生からクラッキング行為とその防御策を学び、法とセキュリティの2面から犯罪を見られるようになりたいということ
をひたすら書いたように記憶しています。

「今現在、何に興味を持ち勉強しているか」に関しては、ゼミでの研究レポートの一部を応募用紙と共に事務局に提供したり、W3C標準でのXHTMLやCSSでの記述文法の正確さに興味を持って、実際に大学附属施設のWebサイトで文法の正確さ満点を達成した過程を伝えたり、Linuxをカスタマイズしている過程を説明したりと色々お伝えしたように記憶しています。

私の意見はセキュリティキャンプに興味がある人の置かれている環境とは違うと思いますので、参考にならないと思いますが、申し上げるとしたら、「今興味のあることを背伸びせず、でもありったけ書くこと」「セキュリティキャンプで学んだことを具体的にどう活かすのか」を正直に、かつ、熱意と楽しさを持って伝えることが大切かなと思います。



失敗学によれば、失敗には種類があり「失敗は成功の元」「失敗の悪循環の起因」の二つの失敗があります。
Wikipedia(https://ja.wikipedia.org/wiki/失敗学)から引用しますが、

失敗の種類は、大きく3つに分けられる。

1.織り込み済みの失敗。ある程度の損害やデメリットは承知の上での失敗。 「失敗は成功の元」
2.結果としての失敗。果敢なトライアルの結果としての失敗。 「失敗は成功の元」
3.回避可能であった失敗。ヒューマンエラーでの失敗。 「失敗の悪循環の起因」

1. と2. の失敗は、「失敗は成功の元」となり得る失敗である。また、この2つの失敗については、状況・結果などがある程度予測できたり、経験からくる的確な判断で対処したりすることができる。
3. の失敗は、失敗からさらなる悪循環が生まれる失敗である。予想しておけば回避可能であったにも関わらず、予想をしていなかったためにパニックに陥り、ますます、状況を悪くしてしまう。


1の失敗では、私もそうでしたが、お盆休みという大切な時間で、親戚一同が集まる場に参加出来なかったり、応募用紙を書くのが大変であったり、帰ってきてからも宿題があってアルバイトのシフトに入れなかったりと、大学4年生の貴重な時間を使ってしまったり、参加前後まで負担があったりと、織り込み済みではありましたがデメリットもありました。しかし、上記の「参加して変わったこと」のようなことがあまりに大きく、キャンプの前後2ヶ月程度の負担に比べれば遙かに大きなメリットを得ることが出来ました。キャンプの前後2ヶ月程度の負担は予測してはおりましたが、それを遙かに凌ぐ良い失敗であったと思います。
(因みに、私が接した参加者の方の中には、リトライ組の方もいらっしゃいました。昨年落ちて、今年もう一回応募用紙を出したら参加できたという方でした。何度も参加申し込みができるというのも有り難いですね)

2の失敗では、「きっかけ」にも書きましたが、情報処理を専門で勉強していく人ですら、ついて行けないという内容なので、法学部在学の私では、理系の方が学ぶ数学や情報処理の基礎が無い所からの参加なので当然講座にはついて行けません。しかし、講師やチューター、他の参加者の方と力を合わせて乗り越えていくという経験は、社会人になってからとても活きてくることだと実感しています。
また、人見知りの方もこの文章を読んでいる方の中にはいらっしゃるかと思います。実は私も人見知りで、初めて会う人の場に溶け込めるかという不安がありました。しかし、参加してみると、案外参加者の皆さんも同様の事を不安に思っていたようです。また、講師やチューター、事務局の方が、溶け込めるような場や環境、お声掛けなどをしてくださったので、私は、いつの間にか溶け込んでいました。失敗覚悟で果敢にチャレンジしてみたら、案外私みたいになっているかもしれません(今回も参加者は少なく、講師・チューター・事務局の方は沢山いらっしゃいますしね)

3の失敗は厄介です。様々な不安から、悩んだ末に参加申し込みしなかった人が該当するのかもしれません。「参加をしたら必ず良いことがある。参加しないと後悔する」といったことを申し上げるつもりは全く無いですが、年齢制限があるため「あのとき参加しておけばよかった」といった後悔は起こるかもしれません。実は私も、「もっと早くにキャンプに参加しておけば良かった…」という後悔をしています。キャンプ後の卒業生向けイベントの大半が私の年齢では参加出来ないので、この点では後悔をしています。ただ、キャンプに参加し、自分で勉強していくのに必要な知識は学ばせていただいたので、キャンプに参加してよかったと思っています。

セキュリティキャンプは心身・時間的にとても大変です。ただ、こういった経験をしておくだけでも、もしかしたら今後何らかの形で活きてくるかもしれませんね。
何か疑問点などありましたら、私で良ければ可能な限りでお答え致しますので、
<shippai.3149●aol.jp(●を@にしてください)>まで、お気軽に、メールを下さいね!

マイナンバーの恩恵を全く感じない人が多いとのことで整理します(2017.4.7)



マイナンバー制度の運用が軌道に乗り始め、国民意識にも変化がでてきたのではないかと思います。その一方で、

〜巷の感想〜
「マイナンバーってなに?」…@
「(マイナンバー制度が)そんなのあったね」…A
「マイナンバーで生活が便利になるって国が言っていたけど、むしろ申請書類に書く項目が増えただけで逆に面倒になった」…B

など、期待(生活が便利になる等)と違ったり、無関心であったりというのが、聞こえてきますので、一度整理をしたいと思い、記事を書かせて頂きます。

JIPDECによる「マイナンバーとプライバシーマークに関する意識調査(https://www.jipdec.or.jp/topics/news/20160303.html)」によるとと、年代による差としての傾向はみられません。(P.15)また、マイナンバー制度の認知度を男女比とで併せてみると「内容を詳細まで知っている」男性 15.2%、女性 7.8%(P.14) と非常に低い値となっており、関心度や理解度は低いため、巷の感想@Aが現れていると考えています。

また、巷の感想Bについては、
「マイナンバーで生活が便利になるって言っていたけど、(前段)」と
「むしろ申請書類に書く項目が増えただけで逆に面倒になった(後段)」
の二つに分解し、整理していきたいと思います。

まず、前段の「便利になるって言っていた」に関しては、これは、早くても数年後の話です。「内閣官房 マイナンバー制度の概要資料(http://www.cas.go.jp/jp/seisaku/bangoseido/download/summary_zentai.pdf)」
には、P.2が一番分かりやすいですが、このページを中心にマイナンバーの利活用の話が載っていますが、実際に利活用されるのは、P.21のロードマップに記載がありまして、来年2018年度(予定)に健康保険証の代わりになることが決まってはいますが、それ以外特に世の中を便利にする利活用の面では決まってはいません。「マイナポータル(p18)」も「スマートフォンでもつかえるようにするためサービス開始を延期します」と政府から発表がありました。

このロードマップは比較的古い資料であると思います(予定延期が決定されているものがそのままになっているためです)。この資料を見ても、利活用に関しては「健康保険証の代わりになる」が来年度(予定)しかなく、世の中を便利にするものは少なくともこのロードマップの右端である平成32年までは特に何も決まっていません(健康保険証の代わりになる予定と、マイナポータルが開始予定ぐらいかなと思います)。調べた限り、平成33年以降、利活用で決定しているものは一つもありません。

このため、「マイナンバーで生活が便利になるって国が言っていたけど、(前段)」といった感想が出ると考えています。なお、今現在e-Taxを利用している方は、住基カードを使ってインターネットを通して納税していることと思いますが、次回住基カードの更新時からマイナンバーカード(個人番号カード)に切り替わることも併せてお伝えしたいと思います。そして、マイナンバーカードのICチップには、様々な情報を追加できるような仕組みになっているのも併せて、今後はマイナンバーカードが様々なカードの代わりに、行政等(運転免許証やパスポートなど)や民間事業者(社員証、クレジット・キャッシュカード、鍵、電子マネーなど)が利活用に使っていくようになるとは思いますが、現行のマイナンバー法では、このような利活用の方法は想定されていなかったり、違法だったりするので、最低でも数年先の話になっていくと思います。

また、後段の「むしろ申請書類に書く項目が増えただけで逆に面倒になった(後段)」は仰るとおりです。
@ 正規・非正規問わず雇用されるとき・委託等(顧問契約、講演依頼契約など)を受けるとき
A 納税・社会保障関係など、番号利用法制で提供の求めを会社等から受けたとき
B 証券会社の特定口座を開設する時
C 行政からの提供の求め(法律や条令が根拠)などといった場合 等
には、マイナンバー制度開始以降は、マイナンバーを書くことになっているはずです。ただ、これは一過性のモノであり、マイナンバーを提供してある程度、個人と行政がマイナンバーで紐付いていけば、マイナンバーが漏洩等で変わらない限り、書くことは少なくなっていくと思います。また、この概要資料には詳しく載っていませんが、預貯金口座や保険、車検等にも、今後マイナンバーを紐付けることが決定しており、これらにもマイナンバーを記載することになっていくことが決まっています。(具体的な開始時期は明確化されていません。)

そして、マイナンバー法の正式名称ですが「行政手続における特定の個人を識別するための番号の利用等に関する法律」となっています。様々な所で「マイナンバーは世の中を便利にする」と言われていますが、法律上の立法目的は全く違い、「行政で働く公務員の方の仕事を便利にする」ことが本来の立法趣旨であり、本来の目的です。この法律は公開されています(http://law.e-gov.go.jp/announce/H25HO027.html)が、第1条の目的には「行政機関、地方公共団体その他の行政事務を処理する者が 〜略〜 個人番号(で)〜略〜 特定の個人(を)〜略〜 識別する機能を活用」「行政運営の効率化」 「行政分野におけるより公正な給付と負担の確保を図り」 「手続の簡素化」 いった言葉が並び、公務員の方の仕事を簡便 にすることが規定されているだけで、国民の生活を便利にする旨のことは一切書いてありません。つまり、本来公務員の方の為の法律であり、一般国民をあまり対象にしていない法律です。以前、マイナンバー制度が始める直前の夏頃に、平和安全法制で自衛隊法の改正が国民的議論になり、マスコミも連日取り上げましたが、自衛隊法が変わったからといって、我々の生活は全く変わっていないと思います。自衛隊法は自衛隊員の為の法律であって、我々の日常を大きく変えるモノではありません。マイナンバー法も同様で公務員の仕事を変えるものであって、民間人には本来直接的関係がないモノです。それを、「国民の利便性が大きく向上する」とアピールし、誤った情報の伝え方をしています。本当は「今後国民の利便性が大きく向上する」と伝えなくてはならなかった事であると強く思っています。

マイナンバー制度に関しては、不安に思う方、関心の無い方、誤った知識を持つ方、さらに残念ながらネット、テレビのコメンテータの方でも間違ったことを発信している方がいらっしゃいます(私も重々気をつけます)。その中で、関心、知識、制度の賛否(ドイツでは、個人IDの使用用途を減らす方向に進んでおり、現在税のみに縮小されました。マイナンバー制度を無くすという考えも必要だと思います)について、様々な人がいらっしゃいます。何か不明な点などありましたら、私の出来る範囲でお答え・発信していきたいと考えているため、<shippai.3149●aol.jp(●を@にしてください)>まで、お気軽に、ご連絡をお待ちしています。

日本のマイナンバー制度は国民全員で作り上げていくものです。様々な方がいる中、政治家・公務員や有識者・学者に任せるのではなく、一人でも多くの国民の皆様で一緒に知恵を出し合って、日本式国民ID制度を作っていきませんか?


改正個人情報保護法と私が想定する失敗-個人識別符号と名寄せ編-(2017.3.27)



3/18は「第142回失敗学フォーラム in兵庫」に参加させて頂き、3/25は「第143回失敗学フォーラム in 滋賀」に参加させて頂きました。
兵庫では、(株)きしろ様に見学をさせて頂き、目の前にある工作機械が80年前から大切に受け継ぎ、現役で稼働しているとお聞きし、大変驚きました。また、日本ではきしろ様しかお持ちで無いという加工技術に驚きと日本の技術力を目の当たりにし、大変嬉しく思いました。
滋賀では、エール(株)様の安田式遊具を見学、試遊させて頂きました。社長の成功と失敗経験、正しい商売を頑として貫くご姿勢に「私も社長の様になりたい!」と念を持ちました。同時にインストラクタの方から、実際に子ども達が安田先生式体育を通して急速に変わっていく様子を教えて頂き、子ども達が楽しそうに体育に取り組む映像を見た際には安田式メソッドの効果に驚きました。安田式メソッドは体力の向上だけでなく、脳神経系や、視覚認知から知覚統合までを鍛える「脳トレ」の効果があることを知り、認知症(予防も含め)患者や身体障害者にも光を照らすのではないかとも感じました。
(株)きしろ様、エール(株)の皆様、そしてこのような貴重な機会を頂いた失敗学会大阪分科会の皆様、ありがとうございました。

話しは変わりますが、題名の通り、改正個人情報保護法について、前回の匿名加工情報制度に引き続き、今回は、新設された個人識別符号、それとあわせて、個人情報漏洩問題ではなく、個人情報の名寄せを絡めて、過去起きた失敗と現在進行形で起きている問題について発信をしていきたいと思います。

改正法において、法2条2項にて個人識別符号という定義が条文にのりました。これには「第一号個人識別符号(指紋、DNA、顔等といった特定の個人の生体的特徴)」と「第二号個人識別符号(基礎年金番号、旅券番号、個人番号、住民票コード等といった特定の個人の符合)」の2種類に分類が出来ます。

注意して頂きたいのが、こういった情報が、新たに個人識別符号として改正法の予定施行日(2017.5.30)以降、個人情報に取り入れられるのではなく、今現在も個人情報であり、改正法では明確化・念押しをしているに過ぎないということです。
なので、改正個人情報保護法がまだ施行されていない現在(2017.3.27)でも、個人識別符号は個人情報であると強調してお伝えしたいと思います。

特定の個人を識別するのに、符合というのはとても便利です。指紋が犯罪捜査でよく使われたり、生体認証として入退室判断に使われたりしているのは、皆様ご存じのことと思います。また、マイナンバー制度が始まり、普通の人には恩恵は全く感じないと思いますが、行政内での職務のスリム化・スムーズ化が進んでいることと思います。現に諸外国では、個人IDによって、行政のスリム化が進んでいます。

しかし、符合で個人を識別していくと、名寄せが簡単に行えてしまいます。特に、マイナンバーにおいては、国会内での議論等や、一部の企業が利活用に使い始めているのをみると、今後は、様々なサービスにマイナンバーが用いられていくことによって、個人ID先進国のように芋づる式に情報が名寄せされていくことも想定できます。

この問題と似ていることとして、日本では共通ポイントサービスが、個人情報の名寄せに使われていくことを危惧しています。
しかし、名寄せしていくことによるメリットも場合によってはあります。例えば、「私はジャスミン茶が好きで毎日コンビニで購入している」という個人情報と「ジャスミン茶の3割引セールを行っている販売者がある」という情報を、私が同意して、「共通ポイントサービスの会員番号で紐付ける」ことで、私が同意しているという前提でこのお茶販売者をDM等で知り、安く購入すれば、私もお茶販売者も得をすることとなります。ただし、人によってはこの行為に嫌悪感を持つ人もいると思うため、「場合によって」と書きました。

個人情報の名寄せは、ある消費者が意図せずに、積極的に情報を探さずとも、自分にとって大切な、お得な情報を簡単に手に入れることとなり、ある消費者にとっても、販売者にとっても、仲介する名寄せ者にとってもメリットがあるとも言えます。そして、ビッグデータとして、様々な事業者の経済活動を活発にして、新たな産業に結びつき、日本の経済活動をさらに活発にすると様々なところで指摘されており、また、様々な国々も進めているところです。

しかし、私たちの知らない所で、私たちの情報が勝手に流れていくことは気持ちの悪いことであるということが、以前、Suica事件で表面化しました。

Suica事件とは、端的に言えば「Suica利用者の乗車履歴を日立に無断で提供したことにより、強い批判を受けた」事件です。

日本経済新聞:スイカ乗降履歴データの外販、JR東が当面見送り
http://www.nikkei.com/article/DGXNASDD200GC_Q3A920C1TJ0000/
J-CAST:「スイカ」の乗車履歴販売問題でJR東が謝罪
http://www.j-cast.com/2013/07/26180231.html
JR東日本:Suica に関するデータの社外への提供について 中間とりまとめ
http://www.jreast.co.jp/chukantorimatome/20140320.pdf

番号(今回JR東日本はSuicaID番号をかなり難しいレベルまでの匿名化を施しており、SuicaIDを復号することは非常に難しいです。また、日立との間でも、復号行為の禁止を契約条項としており、様々なご尽力があったと考えています)といった符合を中心とした乗車履歴はマーケティング活動に大変有効な情報です。これによって、様々なサービスが提供されることにより、消費者も事業者も便利になる可能性を秘めています。

その一方で、いくらJR東日本がプレス発表で「乗車履歴は個人情報では無いため、個人情報保護法違反では無い」(私は個人情報だと思っていますが…)といった旨のことを発表されても、Suica利用者が反感を持ったのは事実です。JR東日本と日立は失敗をしたと感じています。
(因みに、JR東日本は個人情報では無いといっているので、守る必要は無いのですが、オプトアウト受付の方法として不適切な部分もありました。記述する機会があれば、今後しっかりと記述していきます)

こういったことからも前記事で述べましたが、事業者にとって「利活用の壁」というのは大変高い壁であるのは事実であると思います。

符合による名寄せはビッグデータとして、利用者、事業者、日本全体の経済活動を進める新たな形になるメリットもありながら、名寄せをしていくことによって、本人の知らない所で断片的な情報が統合され、極めて精度の高い、価値のある個人情報ができてしまう、場面場面に応じたペルソナの使い分けができなくなってしまいプライバシー権が侵害されてしまう、マイナンバーで懸念されている芋づる式に情報漏洩していくというデメリットもあります。

個人情報の利活用で経済活動を進めるという考え方自体、私は賛成ですが、漏洩だけでなく名寄せの問題点(個人情報の漏洩事案を纏めてくださっているサイトはありますが、名寄せ事案を纏めてくださっているサイトを見たことはありません)にもしっかりと法整備をしていき、個人のペルソナの使い分け、プライバシー権の確保、自己情報コントロール権にも是非、関心を持って頂き、「個人情報の利活用の壁」と「消費者の人権確保との壁」が少しずつでも柔らかくなっていくことを期待しています。



P.S. 今後忙しくなるので、更新のペースが遅くなるかもしれません。のんびり、思いついたら更新していきたいと思います。


改正個人情報保護法と私が想定する失敗-匿名加工情報編-(2017.2.23)



2015年9月に個人情報保護法の改正がなされ、今年2017年5月30日(予定)に全面施行がなされることが閣議決定されました。個人情報保護法の大々的なテコ入れは10年ぶりとなり、様々な「定義」、「ルール」、「仕組み」、「越境移転」、「国外適用」、「定期的な検討等」が盛り込まれました。これに併せて、個人情報適正流通のバイブルでもあるJIS Q 15001:2006に関しても見直されることになると思います。個人情報保護法は置いておいて、JIS Q 15001:2006に関しては、纏められたのが10年近く前であり、スマートフォン、大容量小型記憶媒体、クラウドといった、現代の技術や内部犯行の道具が無かった頃に作られた規格であるため、法律もJIS規格も「古きよき(?)時代の産物」であったため、今回の法改正の期待は大きいものでもあります。
そこで、今回の法改正での改正ポイントと私が想定しうる失敗
を連載の形で書いていきたいと思います。

今回は、今回の法改正が延期に延期を重ねた原因と言われ、様々な議論がなされた「匿名加工情報」についてポイントを記述した後、過去実際に起きた事件を元にした、私が想定する失敗について記述していきたいと思います。

まず、前提として、個人情報とは、

  1. 生存する特定の個人に関する情報

  2. @の属性情報

  3. 他の情報(@やAを含む)と容易に照合できる情報


を指します。
(例えば「田中一郎(@)」は「ゴルフの月刊誌を定期購読している(A)」となり、@は単独で個人情報、Aは@がセットなら個人情報、また、Bでは田中一郎さんはゴルフが好きらしいという個人情報と、田中家のポストにゴルフの月刊誌が定期的に入っているという情報がある場合、「田中一郎さん=ゴルフの月刊誌を定期購読している」と容易に照合できれば、ゴルフの月刊誌がポストに入っているだけでも個人情報となる可能性があります)
以上が、簡単な個人情報の法定義です。

そして今回新設された「匿名加工情報」ですが、保護より利活用に振った定義であり、「個人情報に手を加えることで、特定の個人を特定出来なくしたら、個人情報として取り扱わず、個人情報を保持する事業者(個人情報取扱事業者)としての様々な法的義務を負わなくし、匿名加工情報を本人の同意無く自由に扱ってよい(無断提供、無断売買、無断目的外利用が法的に認められる)というもの」です。
(ただし、新設された「匿名加工情報取扱事業者」としての義務は負います)

個人情報を匿名加工情報とするには、法律で一定の要件(個人情報保護法36 条 1 項)があり、個人情報保護委員会規則に従う(個人情報保護委員会規則19 条)形となっています。

同規則19条によると
<規則第 19 条>
法第 36 条第 1 項の個人情報保護委員会規則で定める基準は、次のとおりとする。
(1) 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(2) 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(3) 個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。) を削除すること (当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することからできない符号に置き換えることを含む。) 。
(4) 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(5) 前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人 情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。


と非常に難しい内容となっていますが、例えば、(1)を用いて、田中一郎(52歳)さんを匿名加工情報とすると

  • 田中一郎(52歳)→田中(52歳)

  • 田中一郎(52歳)→  (52歳)



と加工します。これが、匿名加工情報となります。
詳しくは「国立情報学研究所 匿名加工情報に関する技術検討ワーキンググループ 匿名加工情報の適正な加工の方法に関する報告書 2017年2月21日版(http://www.nii.ac.jp/about/reports/pd/report-kihon-20170221.pdf)」を見ると非常に詳しく、かつ、分かりやすく論じられています

そして、失敗学会に所属させて頂いているので、過去起きた失敗(今回は、福知山線脱線事故医療個人情報の取扱過剰反応事案)から、匿名加工情報でも起き得る可能性を案じている失敗について検討していきたいと思います。

過去、福知山線で脱線事故が起きました。記憶に残っている方が多いと思います。この事故では、電車の安全についてフォーカスされましたが、個人情報保護の世界でもフォーカスがなされていたのはご存じでしょうか。
この脱線事故で、沢山の方が被害に遭い、死傷者が多く出たため、近くの医療機関等に搬送されました。当然通勤通学時間帯であったため、ご家族の方から、各医療機関に問い合わせが起きました。
個人情報(今回は死傷者の氏名)は、原則、勝手に他者に伝えてはいけません(個人情報保護法23条の第三者提供の制限)。しかし、例外があり、同法同条二項で、「人の生命、〜略〜 の保護のために必要な場合であって、本人(今回は死傷者)の同意を得ることが困難であるとき」は第三者提供の制限の例外となり、問い合わせを受けた家族に対して、「ここの病院に搬送されて治療を受けています」と医療機関は答えてもいいとなっています。しかし、この時は、個人情報保護法が正しく理解しておらず、一部の医療機関が問い合わせにたいして「個人情報保護法があるので答えられない」「個人情報保護法に引っかかる可能性があるので第三者提供は控えておこう」と間違った解釈、控えめな解釈をしてしまい、混乱が起きてしまいました。(法解釈の過剰反応と言われています)

法改正が起きれば、当然理解が事業者によって差が出ます。匿名加工情報に関して私は2つの懸念を抱いています。

2つの懸念

  1. 個人情報を匿名加工情報化するときに、個人情報保護委員会規則通りの加工をせず、不十分な加工となってしまう(可能性としては低い)

  2. 匿名加工情報に対して過剰反応を事業者が起こし、匿名加工情報制度の利用に手が出にくくなる(可能性としては高い)



@に関しては、十分分かりやすい規則と、今後様々な情報が現れると思うので、失敗としての被害は少ないと思います。しかし、Aに関しては、福知山線脱線事故のように、誤った解釈や、消極的解釈が起き、匿名加工情報制度が十分に活きないのではないかと案じています。以前、とある省庁の勉強会に参加したことがありますが、その際の質問で民間事業者の方が省庁の幹部の方に意見していた事として、「個人情報の利活用はリスクが高い」と仰っていました。匿名加工情報制度も保護というよりも利活用に属する制度です。この制度が積極的に活用され、立法趣旨である「パーソナルデータを用いて活発な経済活動を進める」ということが空振りにおきる失敗の可能性が少なからずあり得ると考えています。

私が提案する対策として、福知山線脱線事故過剰反応事案による政府対策に学び、事業者と国民に対して、匿名加工情報制度を十分に説明する必要性があると感じます。特に、日本では、個人情報漏洩や知らないところでの利活用に敏感です。大手通信教育企業情報漏洩事件やSuica事件(Suica事件では、私は個人情報を提供したものと考えているので、オプトアウト手続きしなければ23条違反だと考えています。)を見れば、火を見るより明らかだと感じています。匿名加工情報制度が認められるより前に先手を打って、匿名加工情報をわかりやすく説明することで、失敗は防げるのではないか(福知山線脱線事故後の政府対応を見れば明らかです)と感じています。

改正個人情報保護法は世界に類を見ない素晴らしい法律です。特に数年ごとに必ず検討等を行うことを規定しており、実質、常に個人情報保護法、また、同様の規定がある番号利用法は常に検討しないといけない法律となっており、国民世論、世界情勢、技術の発展も含めて、前回の法律のように10年もほったらかしになることの可能性が少ない所は、大変素晴らしい法律です。
是非とも、法律が時代に合うように、適切に構築、運用されていくよう期待していきたいと思います



「絵本作家のブログ」から「ネット上の情報リテラシー」と「絵本作家という職業特殊性」を考える(2017.1.29)



お笑い芸人兼絵本作家(以下Nさん)さんが声優(以下Aさん)さんを名指しで「声優・Aの危うさ。」とタイトルにしてブログを更新して問題となっています。

お笑い芸人としてのNさんは、私が子どもの頃からバラエティ番組などで毎週拝見しており、学校でも、家族間でも、番組の事で盛り上がっていた記憶があります。
また、絵本作家としてのNさんがディレクションした絵本の絵の美しさもさることながら、Nさんがクラウドファンディングから始めたという販売戦略、ご自身の知名度を活かした広報などとても勉強になります。何より、「絵本が高くて買えない」というお子さんの生の声から「無料化する」といった(制作に携わっている一部の方が批判しているという声もありますが)行動力にも凄さを感じます。

話しは脱線しますが、「コンテンツを無料化することで利益を上げる戦略」は、PCのソフトウェアから始まっているように感じます。「元々有料のソフトウェア」を「機能限定版のフリーソフト」として配布したり、シェアウェアとして「寄付を募る」形で配布したりと成功や失敗の戦略を繰り返しながら弱肉強食の発展を繰り返してきました。
今では、広告付きの無料コンテンツ(スマホアプリ・音楽や映像のストリーミング等)や事後課金する無料コンテンツ(ガチャ機能付きのゲーム、通話アプリのスタンプ等)が、日々登場しています。「コンテンツを無料化することで利益を上げる戦略」によって、成功するコンテンツ、失敗するコンテンツと分類出来ないほど毎日の様に溢れては、世の中を便利にしています。
様々なコンテンツの無料化戦略が今後成功していくかどうか、素人ながら注目していきたいと考えています。

本題になりますが、Nさんの活動を批判するつもりは全くありません。どちらかといえばNさんを子どもの頃から応援しています。しかし、声優Aさんを名指しで「危うさ」とブログのタイトルにしてしまうことに対して、絵本作家という特殊性を、特に情報リテラシーの観点から感じてしまいます。
私は、絵本作家というのは、他の分野と違う「特殊性」があるように考えています。絵本作家というのは、特に児童の成長に関与する分、「高い倫理性」「高い情報リテラシー」が求められると考えています。
今回の事例では、Nさんは

  1. インターネットを通して特定の人間(Aさん)に対して意見の正当性に関わらず「危うさ」があるとブログのタイトルで断定している

  2. Aさんの意見の本質を勝手に削った引用を元に、公衆送信性があるブログで一方的に批判している


の2点を行っており、今後を担う子ども達に大切な情報リテラシー(=情報の読み書き能力)に著しく欠けている行動をしていると私は考えています。
1に関しては、コンテンツの無料化によって、「クリエイターが幸せになるか」という議論は必要であり、かつ、私の専門外なので分かりませんが、Aさんの実名という個人情報をタイトルに持ってきた上で「危うさ」と断言しています。このブログタイトルをみて、子ども達は「Aさん=危険な人」と理解してしまわないでしょうか。このような「個人の名誉を毀損する行為をしていいんだ」と子ども達が学んでしまわないでしょうか。こういったことから、Nさんこそ「危うさ」を持ってしまってはいないでしょうか。
2に関しては、Twitter上でAさんが無料化について問題提起をしましたが、その文章の本質部分をNさん、又は運営側の方が勝手に削って引用した上、ブログという公衆送信性がある場で批判しています。情報リテラシーが欠如している上、このブログを見ても、「子どものため」というよりも「本が売れている」という部分の方が圧倒的に多く、Aさんの問題提起の本質とはズレが生じているように私は思います。こういったことから、Nさんこそ「危うさ」を持ってしまってはいないでしょうか。

繰り返しになりますが、Nさんこそ「高い倫理性」と「情報リテラシー」に欠けた方と受けとってしまいます。子ども達が高い情報リテラシーを育んでいくためにも、影響力と才能をお持ちのNさんにこそ、「高い倫理性」と「情報リテラシー」を発揮して頂くことが大変嬉しく思いますし、今後の日本の子ども達の活躍に大変寄与することかと、この件で強く感じました。

情報漏えいが起きることを前提とした個人情報DB設計とPMSの検討(2017.1.5)



個人情報の漏えい事件数は、「日本ネットワークセキュリティ協会 2015年情報セキュリティインシデントに関する調査報告書」の経年データを基にすると、2008年から2014年(2012年は突出して高いので除外する)の間、年に1100件前後を推移している。この傾向は、突出して高い年を除いて横ばいといえる。つまり、10年近く、様々な安全管理措置が編み出されても、漏えい事件数には直接的な影響が薄いとも考えられる。なぜかを考えてみると、人の失敗によるものが主原因であることが、過去のデータから見て取れる。データだけで甘めにプロットしてみても、失敗によるものが8割を超えることからも、技術の発展や制度の制定・遵守(特に、論理的セキュリティの発展や社内ルールの徹底)だけでは直接的な、かつ、抜本的な解決は難しいと考える。
私は、情報漏洩による被害というのは、2段階があると考えている。1段階目としては、「情報が漏れてしまう」ということ。2段階目としては、「漏れた情報が知られ、悪用されてしまう」ということである。
そこで、1段階目の被害が起きてしまっても、2段階目の被害に至らないよう、情報漏えいが起きても、その個人情報DBが個人情報としての意味合いが薄くなるような方法を、DB設計とその運用ルールPMSの観点から検討する。

まず、DBの設計に関しては、本物の個人情報に、ダミーの情報を少なくとも10
倍用意する。

例)
ダミー 山田太郎 東京都〜
本物  斎藤花子 埼玉県〜
…16個程度のダミー個人情報…
本物  鈴木健太 鳥取県〜
ダミー 三浦貴大 岐阜県〜

その上で、本物のみ特定の番号を振る

例)2が本物の個人情報という設計の場合
3 山田太郎 東京都〜
2 斎藤花子 埼玉県〜
…2を除いた0〜9の数字 16個程度のダミー個人情報…
2 鈴木健太 鳥取県〜
9 三浦貴大 岐阜県〜

こうすることで個人情報DBが漏れても、そのDBの価値は薄まる。また、MDMデータを用いて本物の個人情報を選別する手間もかかる。そして、このようなDBをしていることを社外にアピールすることで、自社のシステムを狙おうというクラッカーの意欲も薄まる。

しかし課題は2点残る。一つ目として、個人情報取扱実務者がこのDBのうち、本物の個人情報を取り扱うにあたって、業務が潤滑に出来ない可能性。二つ目として、この番号が漏えいした場合、このDB設計が意味のないものとなる危険性があるということである。
そこで、運用ルールPMSを下記の通り定める。
1.この番号はCPOが原則管理し、選任された、限られた個人情報管理責任者がこの番号を知る事とする。
2.この番号は定期的に変更する。割り振りは置換機能を用いる。
3.個人情報管理責任者が本物のデータをプロットし、個人情報取扱実務者が利用する。使用後はすぐに抹消する。

このようなPMSを設定することで2つの課題が解決される可能性が高いと考える。

ただし、依然として課題は残る。1つ目として、個人情報DB側のサーバーは保護される可能性があるが、エンドポイント側の個人情報取扱実務者や、その端末側で情報が漏れる可能性である。2つめとして、MDMデータを用いて機械的に照合されてしまった場合、本物の個人情報がプロットされてしまうという可能性である。

ただ、課題は残るとしても、このような失敗(ヒューマンエラーによる情報漏えい)を前提とした、漏えいしても価値の薄いDB設計と、それを担保するPMSを用いる事で、自社の個人情報が狙われる危険性は少しでも抑止できると考える。

畑村先生著の「失敗学実践講義 P3」では、「失敗は人が社会で活動していくうえで必ず起こる事です」「それでも(失敗は)起こってしまうものでもあります」と言及されている。「情報が漏れない仕組み」を追求する一方で、失敗学をいかして「漏れた情報が価値を持たない仕組み」も同時に検討することも大切であると考えている。

P.S 新たに資格を取得し
SOEUR認定
心理メンタルケア+ハートケア+カウンセリング 認定講師・インストラクタ

になりました。どこかで活かせることができればいいなと思います。

P.S 2 セキュリティフォントの件で追記(2017.1.23)
セキュリティフォントの件で、漏洩を前提としたソリューションの可否が問題になっていますが、2点追記します。
@当然、1段階目の情報が漏れないということが大前提という立場での今回の検討である
1段階目である「情報が漏れる」と個人の人権と被害企業の価値が毀損されます。また、情報が悪意の第三者に渡ってしまうと、解読、知得を時間をかけて行うことが出来てしまいます。なので、あくまでも情報が漏れてしまうことを防ぐことが大前提での検討です。
A既存の積み重ねられた暗号化アルゴリズムの方が、今回の検討内容よりも優れている
今回の検討は、単純置換による暗号化アルゴリズムであり、極めて原始的な手法を別方向で検討したものです。過去、様々な暗号学者や数学者の方が非常に解読が難解なアルゴリズムを発見し、更にそれらのアルゴリズムに研究を重ねて、解読が極めて難解なアルゴリズムを発明されており、そういった積み重ねられたアルゴリズムを尊重し、重用することが大切だと考えています。

あくまでも、
@情報が漏れないことが前提だが、漏れてしまっても解読・知得が難しい方法の重要性
A既存の優れたアルゴリズムを大切に使うことが第一で、今回はあくまでも単純置換による暗号化を別方向に使ったもの
の2点のスタンスであることを追記します。


マイナンバーの民間開放と各国国民ID制度の比較 (2016.12.5)



マイナンバーの利活用が、行政機関の検討会等から発表されています。過去、財務省が軽減税率の還付にマイナンバーカードを活用する案(いわゆる財務省案)や、高市総務大臣によるマイナンバーカードにポイントカード等を載せる案が発表され、物議を醸しました。今回の発表では、クレジットカード等も含めた、マイナンバーカードの多機能化を目指し、同カードの普及を目指しているようです。
また、経済産業省とJIPDECが共同で「デジタルwatashiアプリ」というシステムを研究しています(http://www.meti.go.jp/policy/it_policy/id_renkei/)。以前、ID連携フレームワーク勉強会に参加したことがありますが、個人番号を変換した符合を登録したアプリケーションが、様々なカードの代わりになっており、マイナンバーの民間開放に向けて、研究が進んでいます。
ただ、各国の制度や歴史を比較すると、民間開放による利活用を急ぐよりも、まずは、公的証明をマイナンバーカードに載せ、かつ、時間をかけて、国民に番号制度やマイナンバーカードになれて頂くことが先決だと考えます。
度々ですが、エストニアと韓国を例に出しますが、エストニアでは、日本と同様に、国民にIDカードを配布しても、国民はこのカードの存在意義が分からなかったそうです(http://news.yahoo.co.jp/feature/48)。まずは、運転免許証の機能を持たせ、その後5年かけて、様々な公的サービスの機能を持たせていくことで、エストニア国民に馴染んでいきました。
韓国では、「国際大学 グローバル・コミュニケーション・センター 諸外国における国民ID 制度の現状等に関する調査研究報告書」によれば、1968年に住民登録証が配布され、30年程かかった1995年に運転免許証の機能を持たせるなど、時間をかけて国民IDカードの普及に至っているようです。公的証明を数年かけてやっている国がある中、民間開放を番号制度開始1年で行おうとしている国は見当たりません。これこそ失敗に繋がる(個人番号への拒否感など)と危惧しています。
国民ID制度は出遅れましたが、国民意識には関係ありません。まずは、運転免許証やパスポート、公的資格や免許の資格証としての機能を持たせ、じっくりと時間をかけて馴染ませていくことが、歴史から学ぶ最適な方向であると考えます。


原発安全神話と自動運転安全神話(2016.11.21)



原発を抱える首長選挙で、原発再稼働賛成派の首長、反対派の首長が様々選ばれています。畑村会長が政府事故調の委員長であることを知ってから、畑村先生や失敗学が国や国民の命運を握っていることに、一粒の学会員としては、とてもこの場が嬉しく思っています。
私も、福一の原発事故を調べていたことがあります。様々な学者や専門家のお話を聞く限り、女川原発の方が被害が大きくなるはずであったこと、原発の危険性というよりも、東京電力の内部の危険性(危険性指摘のもみ消し、津波ではなくハリケーンに強いアメリカ型の原発採用、防波堤や電力系統の設計のミス等)が、この事故の大きな原因であることを学びました。

本題ですが、以前あった原発安全神話と、今起きている自動運転安全神話が、とても似ているように感じています。特に、未来の技術、安全である、の2点が両神話の共通点だと思います。
まず、私の立場は、幼稚園入園前(25年以上前)からパソコンを触るぐらい技術革新や先進技術は大切でワクワクする派、安全な原発なら賛成派です。
ただ、未来の技術は果たして正しい技術なのか、原発・自動運転は果たして安全なのか、そこが疑問です。私は子どもの頃から、原発は環境に良く、発電効率が良くトータルで安価、安全対策をしっかりとしていると学び、石原元都知事も、原発ほど安全な物はないという旨の発言をなされていたので、原発安全神話に囚われていました。しかし、現実は違うことを福一で知りました。原発安全神話が間違っていたことを失敗で気付かれたのが、原発反対派の急増データで現れていると思います。

自動運転も安全神話が現在進行形で進んでいると思っています。IoT時代の中で、ネットワークに繋がったモノ(海外では、原発や石油パイプライン、自動車工場が広義のサイバー攻撃を受けています)は、クラッキングやウイルス感染が起きる可能性が高いです。実際に、国内メーカーの自動車がイギリスのセキュリティ企業によってハッキングされています。私以外にも、IT業界メディアで自動車自動運転の危険性が数多く指摘されています。

私は、原発安全神話で失敗しました。だからこそ、自動運転安全神話に、私の声では小さいですが、警鐘を鳴らしたいと考えています。

日記(2016.10.31)


最近、ふと思った事が一つ、あと、最近勉強してみたいことがあったので、記録してみます。

ふと思ったのが、EUとアメリカ、そして、日本において、個人情報の不適正取扱を抑止する仕組みが様々で面白いと思いました。

EUでは、EUデータ保護指令や次世代の仕組みであるGDPRといった、ルールを公権力が守らせる仕組み。原則オプトインで、安全性や本人同意があれば、その部分の蛇口をあける。
アメリカでは、EUや日本とは違い、統一網羅的な個人情報保護法制が無い(分野限定の個人情報保護法制はある)代わりに、懲罰的損害賠償や集団訴訟によって抑止する形(「アメリカは統一的なパーソナルデータ保護法制がないので、パーソナルデータの取扱が自由」という記事を以前見たことがあり、違和感を感じたことがあります。)であり、原則オプトアウトで、危険性や本人の申告の有無で、その部分の蛇口をしめる。
日本は、ルールや公権力による監視制度(EU型)があっても効いておらず、かといって、オプトアウト制度があっても、懲罰的損害賠償や集団訴訟(アメリカ型)があまり行われていない。どっちつかずだが、Suica事件(マスコミや様々な先生方が、この事件は「合法」または「グレー案件」とおっしゃっていましたが、私は「明確に違法(記名式と無記名式を分けて考える必要性有り)」と考えています)や大手通信教育企業情報漏洩事件のように、「広義の国民」の強い拒否反応で、ある種の抑止が働いている。
3種とも、失敗の繰り返しによって、それぞれ成長してきた抑止の仕組みだと気づきました。

また、最近、一部MVNOのカウントフリー機能と通信の秘密の関係を勉強してみようと思い、「「通信の秘密不可侵」の法理 ネットワーク社会における法解釈と実践 」を買ってみました。通信の秘密は全然分からないので、この機に勉強を始めてみようと思います。以上、日記でした。

自己情報コントロール権と名簿屋問題(2016.10.20)


マイナンバー制度の重要な柱の一つである、マイナポータルというものが、来年7月稼働予定となっています。
マイナポータルについては内閣官房のWebサイト(http://www.cas.go.jp/jp/seisaku/bangoseido/faq/faq6.html)にて大変分かりやすく説明がなされています。マイナポータルとは、マイナンバーを誰が、いつ、どこと使ったのか履歴が分かるほか、行政からのお知らせが、各個人ごとに用意されたマイナポータル上で閲覧できるようになります。また、行政機関内(有識者会議やワーキンググループ等含)での議論や、議会での議論を見ていると、様々な行政手続がマイナポータル上で行えるようになることも検討されているようです。
因みに、Webでの行政手続きは様々な国で行われていて、エストニアでは、「離婚(儀式的な意味合いがあるため)」と「公証人が必要な手続き」以外の行政手続きはWebで行えるようになっているほか、韓国でもe-GOV3.0を朴槿恵政権で立ち上げ、行政手続のWeb化をさらに推し進めていて、先進国では、行政手続のWeb化は当然の様に行われているため、日本がこの分野では大幅に遅れている状態と言えます。

なぜ、マイナポータルを挙げたのかといえば、大手通信教育企業の大規模情報漏洩事件で、自己情報コントロール権と名簿屋問題で揺れ動きが大きくなり、その解決方法として重要な意味をなすものとなると考えているからです。自己情報コントロール権とは、各種定義に揺れがありますが、「自分の情報は自分のコントロール下に置くべきという権利」であり、元来のプライバシー権(ほっとかれる権利)の消極的権利というより、積極的に「自分の情報はこうしたい!」と自ら動く積極的権利と整理されています。しかし、この事件を契機に、いわゆる「闇の名簿屋」が改めて注目を浴びました。今の名簿屋は、情報を収集するグループと、MDMデータを中心に精度の高い情報を名寄せするグループ、情報を保管・販売する窓口グループといった、様々なグループを、一つの共同体とさせて活動しているとされています。

改正個人情報保護法では、匿名加工した情報を保有した事業者等を「匿名加工情報取扱事業者(第2条2項10)」と定義し、「個人情報流通経路の記録義務(第25,26条)」や「データベース提供罪(第83条)」を創設し、パーソナルデータ等の流れを整理しようとしていますが、「闇の名簿屋」等では、改正法でも引き継がれる、いわゆるオプトアウトの手続きや要件を満たしているとは到底思えず、「どこの名簿屋が自分のどんな情報を持っているか」分からない状態かと思います。個人情報保護委員会がどこまで踏み込むか分かりませんが、労働基準監督署の問題と同様に、人員不足で手が回らないという失敗を繰り返す可能性があります。法律は、実効性の担保があって初めて意味のあるものになると感じています。
そこで、意見ですが、闇の名簿屋問題に関しては
@名簿屋(定義の難しさの議論がありますが)を許可事業として表に出し、正規の存在として国が認めると共に、総務省管轄、個人情報保護委員会監視の対象とする。また、全ての名簿屋のパーソナルデータを提出させ、マイナポータルで確認できるようにし、個人情報保護法に基づき、訂正、削除ができるようにする
A名簿屋を事業として国が認める代わりに、法を破った場合は、飲食業や風俗業の様に営業停止処分等を科せるようにする。
B個人情報保護委員会と警察の役割分担を明確にして、シームレスな引き継ぎができるようにする
の3点を行うことで、当然多額の費用がかかるため、慎重に検討しなくてはならないですが、「私の個人情報が変なところに使われないか?」といった不安感を払拭できるきっかけになり、自己情報コントロール権の実現が近づくと共に、EUやアメリカ等のビックデータを本格的に扱えるように制度設計している所と、対等に競争や協力、相互の認合いができるのではないかと感じています。EUの十分性認定が日本に適用されない理由として、私の考えは、「日本は制度設計や権利の保護が不十分で信用できない」といった理由があるように思います。高度情報化社会で、諸外国から大きく遅れをとった失敗を再度しないためにも、改めて、日本のパーソナルデータのありかたを見直す機会を設け、世界と協調できる立場になることが必要であると強く感じています。

個人情報のピースが照合され、ペルソナの使い分けが出来なくなる社会(2016.10.1)


9/28に大手楽器メーカが顧客情報を紛失、9/26に有名国立大学付属病院で患者情報の紛失と発表がありました。
日本ネットワークセキュリティ協会「2015年 情報セキュリティインシデントに関する調査報告書【速報版】」
によれば、2015年の個人情報漏洩事件数は799件でした。単純計算で1日に2、3件のインシデントが起きていると考えると、

昨日は2、3件のインシデント、今日も2、3件のインシデント、明日も2、3件のインシデント、明後日も…、明明後日も…

と考えることも出来ます。
また、同資料の下部にある「漏えい原因比率」を見てみると、「紛失・置き忘れ」「誤操作」「管理ミス」「盗難」「設定ミス」といった、失敗が明らかにトリガーになっているモノで、80%を超えています。個人情報漏洩失敗との繋がりは恐いものがあります。

しかし、恐いものは個人情報の漏洩だけでなく、今後、個人情報の照合・統合も考えていかなくてはならないと思います。

個人情報とは、名前や自宅住所といった直接的に個人を特定できる本人確認情報や、本人確認情報で識別できる特定の個人のことだけをさすのではなく、何らかの情報ピースを組み合わせて個人を特定(容易照合性の有無)できれば、そのピースも個人情報となります。(個人情報保護法2条1項をかみ砕いてみました)

「予測できないビッグデータの膨張」や、「ID・ニックネームの使い回し」、「様々な購入履歴や乗車・移動履歴」、「あってはならないですが来年稼働予定のマイナンバーを用いた検索システムの悪用」、「共通ポイントサービスやその会員番号」によって、一見、個人情報が点在していて、本人はペルソナ(場面場面による、ある人間の振るまいやイメージ)を使い分けていると思いますが、今後(既にポイントサービス等では問題になっていますが)、様々な個人情報を構成するピースが照合され、統合されていけば、プライバシーは無くなって、ペルソナの使い分けができなくなることもありえるかもしれません。

改正個人情報保護法における「匿名加工情報」の制度作りが大幅に遅れていること等からか、同法の完全施行日や、そもそも、この法律自体がよくわからない状態になっています。
個人情報保護界隈は混乱しているなか(個人情報の本人確認情報部分を削れば個人情報ではないという方もいらっしゃるようです)、個人情報漏洩や情報流通を整えることに目が向いていますが、EUのように(EUのプライバシー保護制度やGDPR、十分性認定の透明性など疑問点はあり、一概にEUの制度や、そもそもEU機構自体を見習えとは全く思いませんが)容易照合にも、法や制度による整理に目を向け、個人情報漏洩社会になってしまった失敗から、個人情報容易照合社会による、「プライバシーの無い社会」「ペルソナを使い分けることが出来ない社会」になってしまう失敗にならないよう切に願っています。

史上最大の情報漏洩事件(2016.9.24)


新聞(デジタル含)等のマスメディアで大々的に報道された、米ヤフーの情報漏洩事件ですが、被害者数もさることながら、国家による直接的または間接的な関与の疑い(因みに、日本で出回っているマルウェアがどこから来たか、ルートをトレースすると、ある幾つかの特定の国から来たマルウェアであることが多いです)や、なんと言っても公表の遅さ(一般的に、インシデント発生から「遅くとも72時間以内」に初期対応をほぼ終わらせることが大切であると言われています)にも疑念や批判が起きているようです。

話しは脱線しますが、米国は、日本よりも提訴の心的敷居は低いと言われています。米国の弁護士数は、日本の弁護士数と桁が違うほど多く、裁判制度を上手に使っています。また、米国では小学生から「契約の大切さと危険さ」をしっかりと教えるそうです。

本題ですが、米ヤフー情報漏洩事件の行く末の一つとして、早くも集団訴訟を求める動きがあるようです。
米ヤフー、ユーザー代表が個人情報流出で提訴(ロイター通信)
http://jp.reuters.com/article/yahoo-sued-for-info-leak-idJPKCN11T2NC

関係筋の情報なので、あくまで疑惑の一つとして受け止めなくてはならないと思いますが、記事によれば、CEOレベルまでは既に情報が上がっていたようです。
日本年金機構での年金加入者の情報漏洩事件では、お粗末な点(セキュリティ担当部門にセキュリティに明るい人がいない、自分は聞いていないと嘘をつき責任逃れする幹部、内閣サイバーセキュリティセンターからの指摘を無視する等)が多々あり、情けないことに「個人番号を当面扱わせないという」番号利用法の改正まで行われてしまいました。
ただ、日本年金機構での失敗から学んだこととして、過去の失敗によって信頼を失っていた組織は、さらに報連相や公表を遅らせる失敗を繰り返してしまい、番号利用法の改正まで行わせてしまう信頼感の無い組織として、さらに悪い印象がつくことになったということです。
日本でも、ヤフーBB情報漏洩事件によって、「情報漏洩の被害者には500円相当の金券を払えば良い」という慣習ができあがり、悪い意味で記憶に残ってしまいます。
近々ですが、日ヤフーでの安全管理措置の講演を聞きに行きます。最近の日ヤフーは非常に個人情報への取り組みが盛んで、ノウハウと技術を保有しているとのことで、大変楽しみにしています。

話しが右往左往してしまいましたが、日本年金機構や日ヤフーでの失敗である、「責任者が責任逃れし、情報が錯綜・停滞することで、無用なダメージを増すこと」の無いよう、@情報の積極的な公開と、A責任者が責任をとって事故処理をしていくよう期待しています。


偽装公衆WIFIに引っかかる失敗に注意(2016.8.31)


カフェや大型ショッピングモールを始め、様々な場所に無料公衆WIFIが設置されています。ヨーロッパでは、日本よりもスポット数が多いそうですが、世界全体から見たら日本のスポット数は非常に多く、私も活用しています。
かなり前から指摘されていましたが、無料公衆WIFIと同じSSIDにした偽装WIFIが問題になっていて、騙されて繋いだら情報が抜かれてしまう危険性があります。また、勝手に繋がってしまうケースもあるそうです。そして、偽装WIFIを判断できる方は少ないと調査結果も出ています。


こういった悪質な偽装WIFIに対して、OSレベルで対処するのか、アプリケーションレベルで制御するのか、様々な方法がベンダー側の対策として考えられますが、失敗しないためにも、私たちは、こういったことがあるということを頭に入れるだけでも、本質安全に近づくのかなとシミジミ感じました。

個人情報漏洩と失敗(2016.7.20)


個人情報保護に取り組み始めた頃は、「法律による規制」と「セキュリティ技術の向上」が、
個人情報漏洩事件数を減らす方法だと思い、大学のゼミで法情報学、セキュリティキャンプで主にWebセキュリティやクライアント側のマルウェア対策を学びました。
ただ、学べば学ぶほど、法の不備やセキュリティホールが主原因では無いことに気づき、
ある主の失敗に後悔した記憶があります。
(今思えば、この過程は実りあるものだったと思っています)

日本ネットワークセキュリティ協会の調査によれば、情報漏洩事件の主原因はヒューマンエラーです。また、以下の3大原因↓は毎年大きな変化はありません。

  1. 誤操作:主にメール・FAXの誤送信

  2. 管理ミス:主に誤廃棄

  3. 紛失、盗難、置き忘れ:トイレから戻ったら無くなってる…、飲み会後の帰宅時に置いたままにしてしまった…


上記3原因だけで、事件数の8割を超えます。当たり前を当たり前に行えば防げた、人間の失敗でインシデントが発生してしまいます。
逆にマルウェアや不正アクセスなどの論理的(技術的)セキュリティにかかる部分は数%にしかならないようです。
(日本年金機構や大手旅行会社の大規模情報漏洩では、標的型マルウェアメール攻撃が起因でしたが、初期対応と報連相の失敗が規模をとても大きなモノにしてしまいました)
失敗が主原因だと、故意要件が必要な事が多い刑法典の整備や、セキュリティホールの穴埋めだけでは事件予防は難しいと考えています。
そして、なぜ人は失敗を繰り返すのかを考え、対策を練ることで、個人情報適正流通社会やマイナンバー制度への信頼に結びつく肝になるのではないかと感じています。
失敗学会の発信や学びから、気づきを得られることができたら、とても嬉しく思います。
今後ともよろしくお願い申し上げます。

-------------------------------------------------
≪免責・ご連絡先について≫
本内容は失敗学会が確認・同意したものではなく、私の責で記載したものです。
(誠に申し訳ありませんが、本内容を参考にしたことによる損害等にはご対応できません。)
お手数ですが、内容についてご指摘などございましたら、失敗学会では無く、
<shippai.3149●aol.jp(●を@にしてください)>
まで、ご連絡ください。ご協力のほど、よろしくお願い申し上げます。