ここ最近毎週と言っていいくらい、個人情報の流出事件が起きている。ここで問題なのは、ある企業から個人情報が流出すると、それらの個人情報が盗まれて悪用される可能性が大きいことだ。
最新のケースでは、Citigroupが390万人の顧客情報を紛失した。Reutersの報道によると、この事件では、顧客情報を暗号化せずに記録したテープが、信用調査所への運送中に、行方が分からなくなったという。運送はUnited Parcel Serviceが担当していた。
テープやデータの紛失事件はもちろん、テープドライブが発明されたときからあった。でもこうした事件が、今ほど注目されることはなかった。今では、消費者はもちろん、腰の重い議会でさえも個人情報盗難について心配するようになっており、企業は以前にも増して個人情報の適切な管理を要求されるようになってきている。にも関わらず、ITプロフェッショナルの中には、自分たちの責任を認識していない人も多い。
先日、かなり大きなデータセンターのオペレーションズマネージャーを務める友人と雑談していたときに、この問題について触れてみた。彼の反応は、まるで「車のヘッドライトに照らされて、動きが止まった鹿のよう」だった。もちろん彼は他の会社で顧客情報の流出事件が起きていることを知っていた。だが、自社の顧客情報が何の対策も施されないまま放置されているのではないかと、これらの事件を自分の身に置き換えて考えて見ることをしなかったのだ。この会話からわたしが確信したのは、この友人だけではなく、こういう例はほかにもたくさんあるということだった。
どのような組織であれ、何らかの形で個人情報を集めている。みなさんの会社にもあるはずだ。それらがどこに保管されているか、みなさんはご存知だろうか?
この問題に対処するために開始できることの1つは、「プライバシー監査」を実施することだ。プライバシー監査では、自分の組織が集める個人情報に関する複数の項目をチェックさせられる。例えば以下のような質問だ。
- どんな種類の個人情報を集めているか?
- どのような方法で個人情報を集めているか?
- 何のためにその個人情報を集めているのか?
- 個人情報の使用(内部あるいは外部での)について、特別な条件が定められているか?
- 誰がデータの所有者で、誰が管理者か?
- 誰が、何のためにそれらのデータを使い、通常どうやってアクセスしているか(例えば、リモートから、ウェブ経由で、家から、その他)?
- データはどこに保管されているか?
- それらのデータの中に、ノートPCやPDAなど、日常的に社外に運び出される機器に保存されているものはあるか?
- データのバックアップはあるか?もしあるなら、バックアップに関しても上記の質問を繰り返す。
- データはパートナー企業と共有されているか?なぜ、どうやって?
- データへのアクセスログはあるか?
- ログはどこに保管されているか?
- ログは保護されているか?
- その他のセキュリティ施策(ファイアウォール、侵入検知システムなど)がデータを保護するために使用されているか?
どんなデータがどこにあるかが分かれば、次はどうやってそれを保護するかだ。大切なのは、データを所有し、管理し、使用する人々がこの問題をよく理解し、自分たちの責任を認識することだ。まず、ここから始めないと、どんなに高度な技術を駆使しても何の役にも立たない。
Citibankのデータ紛失がその良い例だ。Citibankは、パートナー企業へ運送するデータは今後すべて暗号化すると発表した。暗号化技術は普及している技術であり、以前からずっとこれを利用できたはずだったが、Citibankは今までそれを実施してこなかった。今回の問題に対してCitibankがとるべきだった解決策は、技術の変更ではなく方針の変更だろう。同様に、あらゆる方法を使ってデータ自体を保護しても、誰かがそれをノートPCにダウンロードして社外に運び出してしまえば、努力は水の泡だ。今回の事件で得られる教訓は、解決策の非技術的な側面を無視しないということだ。
問題はまだまだ続きそうだ。これからも、データ紛失のニュースは絶えないだろう。これは構造的な問題だ。プライバシーに関してDaniel Soloveにインタビューしたとき、「われわれは脆弱性のアーキテクチャを構築してしまった」と彼は述べた。われわれをこういう状況に陥いらせた根本的な問題を正すには、かなり時間がかかるだろう。それまでの間は、われわれ自身がニュースのネタにならないように十分に気をつけようではないか。