社外持ち出し前提の情報漏えい対策第1回

暗号化のススメ

それでは、業務に支障をきたすことなく、企業の知的財産である情報の漏えいを効率よく防ぐ方法はあるのでしょうか。実は、意外なところに答えがあります。発想を転換し、「情報漏えいを防ぐために手を打つ」のではなく「外部にデータは流出するもの」という前提に立ち、「情報が漏えいしても問題無い」方法を考えればよいのです。

「情報が漏えいしても大丈夫＝外部流出した情報を部外者が読めない」状態にできれば、問題は発生しません。つまり、漏えいしたことにはならないのです。まず企業の知的財産である情報（ファイル）を「暗号化」することが、最適な解決方法です。

実際に、経済産業省が発表した『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』には、以下の文言が記載されています。

2-2-3-2 安全管理措置
⑤事故又は違反への対処を実践するために講じることが望まれる手法の例示（エ）（カ）について

事故又は違反時の対処手順例 ◎高度な暗号化等※の秘匿化が施されている場合

ア: 事実調査、原因究明
イ: 影響範囲の特定
ウ: 再発防止策の検討・実施
エ: 影響の可能性のある「本人」への連絡 → 省略可能
オ: 主務大臣等への報告
カ: 事実関係、再発防止策等の公表 →省略可能

情報漏えい事故が発生した場合、
『エ: 影響の可能性のある「本人」への連絡』は企業にとっては多大な費用が掛かります。影響の可能性の調査のみならず、本人へ情報漏えいした旨の連絡をしなければなりません。また、『カ: 事実関係、再発防止策等の公表』はメディアなどを通して事故の報告、今後の対策について発表をする事で企業のブランドイメージを失墜させかねません。
ところが、『高度な暗号化等※の秘匿化が施されている』場合は、省略可能としています。これは前述のように情報漏えいしたとしても、漏えいと見なさないという事です。
ただし、高度な暗号化には、電子政府推奨暗号リストに挙げられている以下の条件があります。

図4: 総務省と経済産業省が電子政府向けに推奨している暗号のリスト（クリックで拡大）

しかし、これらに準拠した暗号化製品を導入すれば、すべてが解決する、というわけではありません。前述のように、これだけの強固なセキュリティを施した場合、実務上の問題は別の問題として発生してしまいます。暗号化したファイルを読める（見える）人と、暗号化の環境を管理する必要があるからです。誰でも読める（見える）のであれば、暗号化の意味はありません。ファイル作成者自身や、ファイルを閲覧（利用）できる人を制限するのであれば、その管理は、確実に行わなければなりません。

次回は、企業の実務を具体例に、さまざまなシーンでの暗号化の可能性について解説します。