情報漏えいが社会問題化、個人情報保護法で暗号化が義務に
多くの国民がデジタル化の恩恵を受けるなか、課題として浮上したのが「サイバー攻撃による個人情報の漏えい」だ。2002年には病歴情報が漏えい、2004年には携帯キャリア情報が漏えい。そして2014年には、複数のカード会社の顧客情報が漏えいし、その被害規模が延べ1億人に及んだことで同国史上最大規模の漏えい事件となったことをはじめ、個人情報漏えい事象が日常的に発生するようになった。
こうした日常的に発生するインシデントが急増すると、サイバー攻撃の脅威が国民の中で広く認識されるようになった。そして、組織の個人情報やプライバシーの管理体制に対して、厳しい目が向けられるようになってきた。それは個人情報保護法の変遷を見ても明らかだ。2003年から立法に向けた議論が始まり、2011年に施行。その後も、何度も改正を繰り返しながら管理義務と罰則が強化されていき、ついには個人を特定する情報に関して、“暗号化”という技術的措置の義務化に至っている。
とはいえ、実際に暗号化を進めていくとなると、ITの現場はいくつかの課題に直面する。
暗号化の課題①:保護対象データの識別
現場が最初に直面するのは、「個人情報はどこにあるのか?」という疑問だ。システムの棚卸しを行い、個人情報のありかを把握しなければならない。人事パッケージや各種業務システム、業務用の個人パソコン、共有フォルダのストレージ、外部に委託しているシステムなどを探っていくことになる。その際、システムや部門の垣根を越えた精査が必要となる。当然、IT部門だけで完結できる仕事ではないため、CIOやCSOなどといった役職者の指揮の下で精査していくことになるだろう。
暗号化の課題②:暗号化の実装方法の選択
暗号化するといっても、それを実装する範囲と方法は様々だ。データを扱うアプリケーションにて暗号化を実装するのか、データベース内のテーブルデータを暗号化するのか。データファイルを暗号化するのか、あるいはデバイスのデータを暗号化するのか。実装スキルやシステム基盤の差異、作業工数やセキュリティに関しても、それぞれメリットとデメリットがあるため、目的や状況に応じて取捨選択していくことになる。
暗号化の課題③:暗号化と性能
データの暗号化処理が、システムに負荷や悪影響を与えてしまうのではないかとの懸念がある。他にも、データベース内のデータを暗号化することが、内部的に過度な復号処理を発生させる、あるいはデータ順序の喪失に伴うインデックス検索の問題を招くなどの、許容できる検索性能を維持できないといった懸念が持たれている。
