日本に先立ち、個人情報漏えいの問題に直面した韓国
現在あらゆる業界において、「デジタルトランスフォーメーション(DX)」の名の下に業務のデジタル化やデータ活用を推し進める企業が増えている。政府も行政のデジタル化やデータ流通の政策を積極的に進めており、官民双方においてデータ活用による業務生産性の向上や、製品・サービスの品質向上などが期待されている。
その一方で、多くのデジタルデータが企業や組織の垣根を越えてやりとりされるようになった。こうした社会的背景から、データ流出の危険性は以前より飛躍的に増している。事実、大規模な個人情報漏えい事故は相変わらず後を絶たず、多くの企業がその対処に苦慮している。また今後は、マイナンバーが銀行口座など様々な情報と紐づけされることになれば、個人情報漏えいのリスクがさらに増すのではないかと懸念する声も根強い。
こうしたことから、今後は官民を挙げて個人情報漏えい対策をさらに強化する必要があると盛んに言われているが、隣国の韓国は日本より一足早くこうした事態に直面し、その結果幾多の苦難に対処してきた歴史を持つ。
「韓国では1968年に、日本のマイナンバーに相当する国民ID制度『住民登録番号』を導入しました。これは北朝鮮のスパイ事件に端を発して、安全保障上の理由から導入されたものでしたが、2000年代にITが急速に普及してオンライン上での認証や身分証明にこの住民登録番号が使われるようになると、大規模な個人情報流出事故が続発するようになりました」
こう語るのは、韓国に本社を構えるセキュリティ企業ペンタセキュリティシステムズのイ・スミン氏だ。
ペンタセキュリティシステムズ データセキュリティ事業部 部長 イ・スミン氏
韓国の住民登録番号には本人の生年月日や出身地、性別などの個人情報が含まれるため、それ自体の流出が即座に個人情報漏えいにつながりやすい。また韓国は地政学上、北朝鮮や中国の関与が疑われるサイバー攻撃を受けやすく、そのため一時期は1000万人以上規模の個人情報漏えい事故が多発し、深刻な社会問題となった。
この事態に対応するために、韓国では2011年に日本の個人情報保護法に相当する法律を制定。個人情報を厳密に管理するとともに、万が一情報が流出しても内容が漏えいしないよう、個人情報をあらかじめ暗号化しておくことが法律で義務付けられるようになった。
韓国もたどった「規制・罰則強化」の流れは日本でも?
一方、日本のマイナンバーは韓国の住民登録番号とは異なり、ID自体には本人を特定できる情報は含まれていない。この点だけに注目すれば、マイナンバー利用範囲の拡大による個人情報漏えいリスクは低いようにも思えるが、今後マイナンバーが銀行口座など外部の様々な情報と紐づけられると個人情報が特定されるリスクが高まるとも言われている。
「そうなれば、日本もかつて韓国がたどったように、国民IDの普及を機に大規模な個人情報漏えいが発生するリスクが高まると予想されます。現在の日本の法律では、個人情報の暗号化措置は推奨事項とされています。しかし、いずれは韓国と同じように、法律で義務化されるのではないかと思います」と、イ氏はかつて韓国が歩んだ道を、今後日本もたどるのではないかと警鐘を鳴らす。
またイ氏は、韓国企業と比べた場合の日本企業のセキュリティ対策の特徴について、次のように指摘する。
「日本企業はPCなどへのサイバー攻撃をブロックするためのエンドポイントセキュリティ対策にはかなり力を入れている半面、サーバーを守るための対策は比較的手薄な印象を受けます。本来ならエンドポイント対策が突破された場合に備えて、サーバー上のデータを暗号化したり、それらに対するアクセス制御をしっかりと管理したりする必要があります」
韓国では、万が一インシデントが発生した場合、真っ先に企業による説明責任が求められると同時に、法律によって企業の経営トップの責任が厳しく問われる。過去には、深刻なインシデントを引き起こした企業の経営トップが逮捕される事態にまで発展したケースもあったという。
日本でも先般の個人情報保護法改正で罰則が厳しくなったものの、海外と比べると企業に課せられる罰則は軽く、また経営トップが重い罪に問われることもない。裏を返せば、日本ではこれまで、韓国が経験したような大規模な個人情報流出が続発するような最悪のケースを回避できているととらえることもできる。今後、官民双方でデータ流通がさらに加速するであろうことを考えると、日本も徐々に海外に倣って規制や罰則を強化していくことも十分予想される。
韓国企業が過去に直面した課題とその対策
一時は深刻な状況に陥った韓国の個人情報保護だが、現在では官民による様々な努力の結果、完全に危機を脱している。ただしその過程においては、幾多の課題を乗り越える必要があった。特に技術面においては「個人情報の分散」と「データ暗号化時のパフォーマンス」という2つの大きな課題をクリアする必要があったという。
「韓国企業ではかつて、業務システムを設計する際に『住民登録番号をキーにして、個人データを関連付ける』という手法が当たり前のように用いられていました。このやり方は容易にデータベース間を紐づけられる半面、データベースを統合せずに済むため、個人情報が社内の様々なデータベースに散在するという状況を引き起こしてしまいました」(イ氏)
その結果、社内のどこに個人情報が存在するのかシステム管理者ですら正確に把握しきれないという問題が発生した。そのため、いざ法律で個人情報の暗号化が義務付けられても、「どのデータベースを暗号化すればいいのかわからない」という事態に陥る企業が少なくなかった。そこで現在、ほとんどの韓国企業は、個人情報を含むデータを1ヵ所に集約し、「統合サーバー」として集中管理するようになったという。
また住民登録番号をデータベースのキーとして用いると、データを参照するたびに暗号化した住民登録番号を復号しなくてはならず、これによってシステム全体のスループットが低下してしまうという問題が発生した。そのため現在では住民登録番号をそのままキーとして用いるシステム設計手法はほとんど採用されず、別に一意な値をキーとして設けることが一般的だとしている。
日本でも義務化され得る、個人情報データの暗号化
イ氏が所属するペンタセキュリティシステムズでは、これらの課題を克服し、データベースの暗号化を容易に実現するための製品「D'Amo(ディアモ)」を提供している。データベース暗号化ソリューションとして韓国国内でトップシェアを獲得しており、公共機関の半分以上がD'Amoを採用しているほか、民間分野においても1,000社以上の企業が同製品を導入してデータベースの暗号化を実施しているという。
D'Amoの特徴についてイ氏は、多様な業務システム環境や既存システムに修正を加えることなく導入できる暗号化方式の選択肢をユーザーに提供し、また自社開発の暗号化インデックスを活用することで、データベースの性能への影響を最小限に抑える機能性も大きな特徴だと語る。
「様々なデータベース製品やOS、プラットフォームに対応したモジュールを多数取り揃えているため、あらゆる環境に柔軟に対応することが可能です」(イ氏)
具体的には、データベースやOSの種類に応じて30種類以上のモジュールを用意しているため、D'Amoさえ導入すれば自社が保有するあらゆる環境で個人情報の暗号化が可能になるという。また単にデータを暗号化するだけでなく、暗号化済データに対するアクセス管理やログ監査など、重要データを保護するための様々な機能を「セキュリティプラットフォーム」として包括的に提供している点が大きな特徴だ。
こうしたカバレッジの広さや導入コストの妥当性、導入後の応答性能等が高く評価された結果、韓国では数多くの大企業や公共機関で同製品が導入されている。たとえば韓国を代表する財閥系メーカーの1つ、LG電子は2010年にD'Amoを導入し、海外拠点も含めたグループ全体で活用している。韓国国内における法対応はもちろんのこと、欧州でのGDPR対応においてもD'Amoが活躍しているという。また韓国の外務省でも、海外駐在の高官同士がやりとりする文書の暗号化にD'Amoが利用されている。
国外のグローバル企業による導入例も多く、スウェーデンの自動車メーカーのボルボでは、本社で運用するSAP ERPのデータベースを暗号化するためにD'Amoを導入している。もちろん日本国内においても同製品を導入する事例は増えており、大手証券会社やエネルギー関連企業などが個人情報を含むデータベースを暗号化して保護するためにD'Amoを導入しているという。
イ氏はD'Amoのような実績豊富な暗号化ソリューションが、今後日本において必ずや必要とされる日が来るだろうと力説する。
「日本の個人情報保護法ではまだ個人情報の暗号化は必須とされていませんが、近い将来韓国と同様に義務化されると予想しています。そのときに備えて、かつて韓国企業が対応に苦慮した『個人情報の分散』『システムのパフォーマンス劣化』といった課題に早くから取り組むことを、ぜひ日本企業の方々にお薦めしたいと思います」
