個人情報の暗号化通信は漏洩にあたるか?
情報セキュリティ人材育成プログラム・応用コース座学編の最終講義を担当、「情報セキュリティインシデントと対策技術の動向」について話をした。
講義中のディスカッションで、「企業等が暗号化した個人情報を紛失・漏洩した場合にその事実を公表・謝罪すべきか?」という話になり、経済産業省のガイドラインでは「(個人情報については、)暗号化されているかどうかを問わない。」とあるので、暗号化されていたとしても平文の個人情報と同じく公表・謝罪が必要と認識され(それが本来あるべき姿かどうかは別として)実際に多くの企業が、暗号化した個人情報の紛失について事実の公表と謝罪を行っているという話をした。この背景には、暗号化されているとはいえ情報自体が組織の安全管理の及ばない状態にある場合にはすでにそのリスクをコントロールできない状態にあるという見方をされるためではないかということもコメントとして追加した。
さらに「個人情報を暗号化してインターネット通信することは認められるのか?」という質問が飛び出した。上記の考えに基づくとすれば、暗号化した個人情報のメールでのやりとりはもちろんのこと、SSLやVPNなどを用いインターネット経由でサーバにアクセスをして個人情報を送受するという行為も、自組織の管理下にない通信経路を経由するという意味では個人情報の漏洩ということになる。つまり暗号化通信を用いたとしてもインターネット上で個人情報のやりとりを行うべきではないということになる。しかしながら、各種オンラインモールのサービスやその他ネットを活用した企業活動においてインターネットを通じた個人情報のやりとりを全く行わないというのは考えにくい。実際「暗号化通信 個人情報」などのキーワードで検索をすると多くのサイトにSSLで暗号化されるので個人情報をインターネット上で通信しても安全ですという記述があるのを見ることができる。では逆に128bit SSL相当あるいはそれ以上の強度で暗号化したファイルを紛失した場合において、その事実を公表・謝罪する必要があるのかという疑問が生まれる。
紛失したファイルを第三者が拾得した場合と、暗号化した通信を第三者が傍受する場合のどちらのリスクが大きいかということになるかとは思うが、実際のところインターネット上での個人情報の暗号化通信と、暗号化された個人情報ファイルの紛失の差異について、どのような認識が一般的なのだろうか。
(参考情報)
■個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(経済産業省, 2004/10/22)
http://www.meti.go.jp/feedback/downloadfiles/i41013fj.pdf
「個人情報」※1とは、生存する「個人に関する情報」であって、特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができる※2ものを含む。)をいう。「個人に関する情報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化されているかどうかを問わない。
HTTPSなどの暗号化通信で個人情報が流れるだけで漏えい??
個人情報の暗号化通信は漏洩にあたるか?:武田圭史 武田さんのブログより、以下のように個人情報は暗号化しているかどうかは問わないらしい。 講義中のディスカッショ…
顧客がWebのフォームから個人情報を暗号化して送信する場合、顧客にも一定のメリットがあり、対策(暗号化)もされているため企業の責任はかなり小さいように思えます。(リスクの説明が十分がどうかは別にして、顧客自身の意志で行ってるという点も重要)
一方、暗号化されていたとしてもファイルの紛失は企業の責任は重大ですね。暗号の強度が十分であれば、実質的な被害は0ですが、管理能力の低さは明白です。
例えば企業がVPNを構築をしていてその上で個人情報をやり取りしているような場合はどうでしょうか?
あるいはHTTPSやSSH、SFTP等を用いてサーバにアクセスしている場合はどうでしょう?
公表・謝罪は管理能力が低いことに対する懺悔なのでしょうか?
紛失した暗号化済個人情報を誰かが拾得する確率の方がネットワーク上で暗号化済通信をキャプチャされる確率よりも高そうに感じますが、暗号化ファイルの紛失時には公表・謝罪しなくてはならなくて、個人情報の暗号化通信は公表・謝罪しなくても良いとする根拠としてはちょっと弱いのが悩ましいところです。
経産省のガイドラインにしたがうというよりは、以下の理由で公表・謝罪がなされているとおもいます。
1)日本人の「謝ることが美徳」という文化
欧米のように、「謝ると責任を認めることになる」という感覚とは違い、謝っておいた方が得という発想があるとおもいます。
2)暗号の強度よりも、鍵・パスフレーズ管理がおろそか
いくら強い暗号でも、復号手段がどう管理されているかわかりません。また、オフラインだと攻撃機会が飛躍的に増えます。
3)暗号(またはセキュリティ)の強度を一般に説明するのが困難
いくら「世界でもっとも強い暗号を用いました」と説明しても、信用してもらえる保証はないですよね。言うだけなら誰でもいえます。
あと、暗号化通信が安全かどうかは、(想定する)攻撃コストに比べて守るものの価値が十分低いかどうか、で個別に判断するしか無いようにおもいます。
逆に「公表・謝罪」するということは、そのリスクを想定していなかったことの証であり「管理能力が低い」ということでしょう。
# でも、多くの日本人は許してしまうんだろうな...
>例えば企業がVPNを構築をしていてその上で個人情報を
>やり取りしているような場合はどうでしょうか?
「情報漏えいを前提に暗号通信している」のと、
「暗号情報が不注意で漏洩してしまった」というのは
同じではないかという主張とお見受けいたしました。
技術的に言えば、両者はほとんど同じものだと思います。
大事なデータを金庫に入れて郵送するのと、
事務所のカギを閉め忘れて大事なデータが入った
金庫が盗難にあうという感じでしょうか。
>あるいはHTTPSやSSH、SFTP等を用いてサーバに
>アクセスしている場合はどうでしょう?
56bitやら無印DESだとNGです。:)
オレ様ルール全開ですが現時点で安全と言われている
方式を採用していれば「公表・謝罪」の必要は
ないと思われます。(漏洩・暗号解読で実被害が
出れば別ですが)
>公表・謝罪は管理能力が低いことに対する
>懺悔なのでしょうか?
公表→顧客情報を紛失したことに対するお知らせ。
謝罪→顧客の不安、実被害に対するもの。
と考えています。
流出した暗号化ファイルと傍受された暗号化通信データの違い
個人情報の暗号化通信と暗号化ファイルの紛失
以前の私のエントリー「個人情報の暗号化通信は漏洩にあたるか?」で投げかけた「流出した暗号化ファイルと傍受された暗号化通信データの違い」とそれに基づく漏洩時の謝罪…
まだまだ、勉強の身、雑文お許しください。
情報漏洩対策に暗号化。
私が何回も主張してきました。
しかしながら、一応暗号化していても「個人情報」にはみなされる場合もある(他の情報と照合した場合などで特定できるとき)
で、暗号化していても、漏洩したなら安全管理措置の不備!!を主張される各方面の先生方に一言、申したいです。
では、コストが厳しい、中小企業などでは、経営難に陥っても、情報漏洩対策に
やれ、認証サーバー、ファイルサーバー、VPN、ファイアウオール、アクセスログに、教育に・・。
こんなコスト、耐えれますか!!
私が最低でも暗号化、(もしろん、信頼できる暗号アルゴリズムを使用したソフト)と主張するのは、コストを最小限に、それでも、できうる限りの情報セキュリティ、特に情報漏洩対策が可能だということです。
現実の経営環境を、先生方に認識してもらいたいですね。
お金ないなら、商売やめろ、と同義語に聞こえます。
簡単に、何十万のお金かけることは実際、難しいのです。
どんなにセキュリティシステム金かけて構築しても、人が裏切れば情報漏洩なんて簡単におこせますよ。過去の事件が証明しています。
1番目はお金かけて機材かうのではなく、教育でしょう。
仕事がら医療現場にもよく行きますが、まだまだ、暗号化というものの重要性は薄いですい、開業医は特に関心薄いです。
また個人情報の取り組みのパンフがどこの病院でも同じ・・。
とういうのも、かざりだけの個人情報対策に思います・・。
簡単に、高度な、安価にできるセキュリティを、特に中小は求めています。大阪の現場は特にそうです。
まあ、個人情報保護委員会とか、設置している企業もあまり、知りません・・。
大阪の某市教育委員会は、USB認証タイプでの暗号化は、先生がUSB紛失するから駄目らしいです。
USBを家の鍵と思えば、重要性を認識するのに・・。