さて、前回は、SMACSの時代が進展していくにつれて、どんどん個人情報が流出しやすい状況が生まれるという話をしました。今回は、そうした時代に消費者やユーザー企業、サービス提供者、行政等がどのような対応や心構えを持つべきなのか考えてみましょう。
なお、前提として、ダダ漏れになっている個人情報を取得したり、さらにはセキュリティを破りに来たりするのは個人レベルのハッカーに限らず、悪意のある国際的な組織(場合によっては国そのもの)ということもありうることを意識しておく必要があります。
消費者は何をすべきか
消費者個人ができる防御はおそらく限定的でしょう。セキュリティのしっかりしているサービス業者を選ぶ(当然、ある程度の調査能力やリテラシーは必要になります)、怪しいメールは開かない、フィッシングサイトなどには気をつけるといった対策はしっかりする必要がありますが、そのこと自体は現在と変わるわけではありません。ただ、手口はどんどん巧妙化することが予想されるので、最新の情報には敏感になっておく必要があります(おそらくそうした情報をまとめたサービスも登場するでしょう)。
フリーのサービスを使うなといってもこれはおそらく無理でしょうから、ここは発想を変えて、氏名や住所などは漏れるものという前提で身の回りの安全を確保するのが賢明です。何か変だと感じたら、いち早く行政やサービス提供者に相談するのが望ましいと言えます。今後導入予定のマイナンバーなどの超重要個人情報については、極力ネットには載せないことです。行政以外からそれを求められたらまずは疑いましょう。
最も危険にさらされるのは初心者です。どの時代にも必ず初心者は存在するわけですが、個人情報が連結され、マイナンバー制度などと絡んで価値が上がっていくこれからの時代、ベネフィットを得る前にガードを固める意識を持つことが必要となるでしょう。
とは言え、ただ相手の攻撃が去るのを待つだけというのではあまりに無防備すぎるので、何らかの報復を行ったり相手にダメージを与えるという姿勢を見せることも重要です。なまじアタックをすると相手が困る状況を作りだすということです。そうしたサービスを一般消費者が作るのは難しいので、ここは企業にとってビジネスチャンスとなりえる分野と言えそうです。
ユーザー企業は何をすべきか
まずは従業員に、上記で述べたのと同じような注意喚起をしっかりする必要があります。おりしも最近、日本年金機構で十万人規模の個人情報流出がありました。現場の危機意識の薄さと片付けるのではなく、徹底した啓蒙が望まれます。
セキュリティは大事と分かってはいても意外と他の重要な経営の意思決定にかまけて劣後させている企業は少なくありません。ちょっとした事故が企業のブランドイメージを大きく棄損させるような時代です。抜き打ち検査による内部チェックや外部業者に依頼してのセキュリティチェックなどを過剰にならい程度には実施しておく必要があります。
また、ほとんどのトラブルはセキュリティの問題以上にトラブルが発生した後の対応の遅れに起因します。トラブルのタイプにもよりますが、個人情報に関するセキュリティトラブルの場合、そうした状態にあることが発覚するのは100日、あるいは200日以上たってからという情報もあります。危機対応のコミュニケーションをしっかりできる体制を整備ずると同時に、セキュリティが破られていることを素早く察知し、その期間を短くする取り組みも進める必要があります。
ここでも発想を変えて、セキュリティは破られることがあることを前提に(言い換えれば完全なセキュリティ対策は作れないことを前提に)、リカバリーに力を入れることが必用でしょう。なお、そうしたサービスについては、これも一般企業が自社で完全に実施できるものではありませんから、ビジネスチャンスが生まれる可能性が高いといえそうです。
サービス提供者は何をすべきか
サービス提供者としては、まずは当たり前のこととして、セキュリティ対策の強化をしっかり行う必要があります。おそらく、これからの時代、セキュリティの強さが顧客に対する提供価値に占める割合は大きくなるでしょうし、それを顧客に訴求することでマーケティング上優位に立てる可能性も生まれます。とは言え、これはイタチごっこで、どこまでたっても悪意の攻撃者の脅威を取り除くことはできません。
ユーザー数が多くなるほど、攻撃者は知恵を絞ってセキュリティを破りに来るという問題もあります。ネットワーク効果の働くネットの世界ではユーザー数の多さが顧客にとっても価値につながるわけですが、それが仇となって標的にもされやすいという、痛し痒しの状況を招くわけです。
おそらく、最も気をつけなくてはならないのは、以下のような企業・サービスでしょう。
(1) 歴史が浅く、相対的にセキュリティへの取り組みが遅れている成長サービス。こうしたサービスはおそらく顧客に新しい利便性を提供していると予想されますが、相対的にセキュリティに対する投資が少ない場合もあるでしょう。IoT普及の中で、セキュリティの甘いセンサーなどが増える可能性も考えられます。
(2)個人の医療情報など、相対的に重要な個人情報を扱うサービス。当然ですが、価値のある情報を扱っているサービスほど攻撃にさらされやすいでしょう。今後はDNAの解析データ等を扱ったサービスも普及が予想されますが、それらもここに含まれます。
近道はなかなかありませんが、セキュリティ専門会社の診断を適宜受けるなど、しかるべき対策を打つ必要があります。
これは一般の企業にも言えることですが、個人情報は漏れるときには漏れるものです。その可能性を低くする取り組みは重要ですが、ゼロには絶対になりません。先述したことと同様ですが、トラブルは起こるものだということを前提に、その後のリカバリーや世間に対するコミュニケーションに力を入れるのが賢明でしょう。
結局、多くの企業が非難を浴びるのは、情報が漏れたことそのものに対してではなく、それに対する備えの甘さや、事後のリカバリーの悪さが原因です。100%のセキュリティはないという前提で、顧客や世論に対して納得感のある説明をできる体制を作ることが重要です。
行政は何をすべきか
行政サイドの取り組みも重要です。予算が限定される中、どこまでの細かい対応が可能かは未知数ですが、消費者や企業に対する啓蒙活動はもちろんのこと、サイバー攻撃に対する対策や、個人情報の不正な利用に対する罰則の取り決めなど、やるべきことは山積みです。政治家の強いリーダーシップを期待したいものです。
悩ましいのは、冒頭にも述べたように、悪意のある攻撃者がますますグローバル化するとともに強大な力を持つ可能性があることです。さらに言えば、すでにITの重要なサービス提供者は外資系の企業であり、日本国内だけで対応しようとしても自ずと限界があります。
具体的なスキームをどのように作るのかは今後の課題になるでしょうが、少なくともアメリカなどのIT先進国とサーバーセキュリティに関する共同の取り組みを行ったり、法律についても逃げ道をふさぐような国家間の連携は必要になるでしょう。息の長い取り組みになるかもしれませんが、これなしではサイバー空間がアナーキーな状況になることも最悪の可能性としては予想されます。サービス提供企業サイドも、いたずらに利益や成長を追求するのではなく、各国の行政とある程度までは歩調を合わせることが必要でしょう。
ただ、これはやりようによってはベンチャー企業や新事業を委縮させることにもつながりかねないため、バランスは非常に難しいものになります。利便性や起業家精神の発露をとるのか、それとも安全をとるのかという議論も当然起こるでしょう。
一朝一夕に答えの出る話ではありませんが、日本政府としては、こうした課題を認識しながら、不利な立場に追い込まれないよう、ある程度のイニシアチブをとれる状況を作り出すような努力が必要でしょう。そのためにも、企業と連携したオールジャパン体制が必要となりそうです。ここでも既存のやり方から大きく発想を変えることが求められそうです。
さて、駈け足でセキュリティと個人情報の問題に触れてきたわけですが、皆さんはこの問題に関してどのような意識を持たれたでしょうか? リスクを好まれない方は、「そこまでして利便性を追求しなくても」と思われたかもしれませんが、一度動き出した流れが止まることはないと筆者は考えます。消費者として、そして企業人として、納税者として、この問題にどのように対応すべきなのか、そのセンサーを磨いてほしいと思います。少なくとも、自分事ではないと考える人がより大きなリスクにさらされるのは間違いないでしょうから。