第3回 個人情報保護法とIT (3) 暗号化|これからの銀行を支えるIT戦略
●米金融機関での暗号化の扱い
個人情報保護が明記された金融機関向けの連邦法のひとつであるGLB(Gramm-Leach-Blilley Act)法においては、「顧客情報を保護すること」という義務は記述されていますが、どうやって保護するかという方法論までは明記されていません。この背景には、米国で預金業務を行う金融機関の数は2万社以上に及び、かつその規模も千差万別(資産規模:$50万から$1兆超)で、画一的な技術対策の適用がなじまないという事情があります。
そのような中、米国のカリフォルニア州法(Senate Bill 1386:SB1386)においては、消費者の個人情報を盗まれた可能性があると判断した場合、企業は各消費者にその旨通知するように義務づけています。ただし当該「個人データ」が暗号化されている場合は、この通知義務は免除されます。このように、この法律では「個人データの暗号化」は義務とはしないまでも、暗号化を実施していない場合は、厳しい情報開示を求める内容になっています。この法律はカリフォルニア州に限ったものでしたが、同等な法律がワシントン州をはじめ全米20州でも施行される予定で、さらに連邦レベルでの法律にすることも検討されています。
●日本の金融機関での暗号化の扱い
金融庁の個人情報保護に関する実務指針において、「アクセス制御と毀損防止」に関する要件が、4.4条にて定義されています。「暗号化」の要件については、その中の4.4.1条にて記述されています。現時点では「義務規定」ではなく、「努力規定」とされていますが、技術の進歩にも助けられ、「暗号化」はより一般化してくるものと考えています。
4.4.1条:個人データの漏洩・毀損防止策として、保護策を講ずること
1.伝送データの漏洩防止策
2.蓄積データの漏洩防止策
同条では、個人データの状態(伝送時、蓄積時)に応じた保護策を求めていますが、それぞれの状態において、どのように暗号化が求められているか、そのポイントを整理して行きます。
伝送データの漏洩防止策
(1) FISC安対基準
FISC安対基準の技術基準29項「伝送データの漏洩防止策」の中で、伝送データの暗号化の必要性が記述されています。
■データ伝送時の盗聴等による漏洩を防止するため、重要なデータについては暗号化の対策を講ずることが望ましい。
(2) 暗号化の対象となる伝送データ
伝送データとして暗号化の対象になるのは、社外からの個人データへのアクセスだけではありません。内部情報漏洩にそなえて、社内ネットワークからの個人データへのアクセスもその対象となります。
(3) 暗号化の手法
伝送データの暗号化の手法は多種多様で、例えばWebアプリケーションにおける伝送の暗号化には、SSL(Secure Socket Layer)プロトコルが有効であったり、リモート端末との接続には、SSLプロトコル以外にもIPSecプロトコルが有効であったりもします。
また伝送データを暗号化するということは、「暗号化」という余分な処理負荷が発生するため、伝送パフォーマンスに大きく影響を与えます。その処理負荷と暗号強度は相反するので、利用するアプリケーションと利用環境にあわせて、適切な暗号化手法と暗号強度を選択する必要があります。
蓄積データの漏洩防止策
(1) FISC安対基準
FISC安対基準の技術基準28項「蓄積データの漏洩防止策」の中で、蓄積データの暗号化の必要性が記述されています。
■ファイルのコピーや盗難等による漏洩を防止するため、 重要なデータについては暗号化の対策を講ずることが望ましい。
(2) 暗号化の対象となる伝送データ
暗号化の対象となる重要なデータは、大半の場合「文書ファイル」、「データベース」として保存されていることから、ここではこの2つのデータに焦点をあてます。
(3) 文書ファイルの暗号化
文書ファイルを暗号化する方法として、「該当ファイルのみを暗号化」、「ディスク全体を暗号化」の2通りの方法があります。
1.該当ファイルのみを暗号化
「個人データ」が特定できる場合で、データ共有が必要な場合に有効な手法
<課題> 運用性
暗号化を実現する手段として、個人データを保存するフォルダを決めておき、そのフォルダのみ常に暗号化するという方法や、個人データ毎に暗号化をする方法などがあります。これらの方法では、ファイルやフォルダ毎にアクセス制御が可能になるため、データを共有する場合に適しています。しかし人手による運用が介在するので“うっかりミス“による漏えいリスクを考慮しておく必要があります。
2.ディスク全体を暗号化
モバイルPCの盗難対策等に有効な手法
<課題> アプリの稼動保証
ログイン状態では無条件に復号化されてしまうので、データの共有には不向きですが、ログアウト時のデータ保護には有効な手法です。またディスク全体を暗号化すると、「個人データ」以外のファイルやデータまで暗号化されてしまうので、アプリケーションの動作保証やパフォーマンスに気を配る必要があります。
(4) データベースの暗号化
従来データベースの暗号化は、特にパフォーマンスの面から用途が限定されていましたが、技術の進歩に伴い、一般の用途でも使用に耐えるデータベース暗号化ソリューションが市場に出てきました。
1.ハードウェアによる暗号化
データベースのストレージ全体を、強制的に暗号化してしまう方策です。「仕組みが単純」という特長があり、データベースの暗号化だけではなく、データベースの外部媒体へのバックアップ時にも有効です。ただし全てのデータを暗号化してしまうので、データ毎の細かいアクセス制御ができません。
2.ソフトウェアによる暗号化
必要なデータだけを、アクセス制御をつけて暗号化する場合に有効な方策です。ソフトウェアで暗号化を行う場合は、必要なデータのみを暗号化( 部分暗号)できるとともに、データ毎のアクセス制御が可能になります。個人情報保護の観点から、暗号化をすべき情報はデータベース中の一部の情報であり、パフォーマンス面からも部分暗号に優位性があります。
ソフトウェアによる暗号化導入のポイント
1.索引(インデックス)情報の暗号化を避けます。
索引情報を暗号化してしまうと、データの検索時にパフォーマンスが大幅に悪化します。回避策が提供されているソリューションもありますが、できる限り索引情報は暗号化しないようにします。
2.バッチの処理時間への影響を極小化します。
バッチは定期的に決められた時間内に実行されており、暗号化により処理時間が大幅に増加すると、運用方法の見直しが必要になってくる場合があります。このようなことが発生しないように、オンラインだけではなくバッチのパフォーマンスも考慮する必要があります。
3.暗号鍵の管理に細心の注意を払います。
せっかくデータが暗号化されても、暗号鍵が無防備であると暗号化の効果は半減です。
暗号鍵は、鍵そのものを暗号化することと、かつ複数の防護策を組み合わせて鍵を保護することが望ましいと言えます。
ソフトウェアによる暗号化の方式
日本で発売されている「ソフトウェアによる暗号化製品」は次の3種類に分類できます。 これらのソフトウェア暗号化製品は、データベースの種類とバージョンの依存性が高いので、利用しているデータベースにあわせて、方式/製品の選定をすることが重要です。
●まとめ
データ保護の観点で、「暗号化」は決して完璧なソリューションではありませんが、現在利用可能な技術の中では、最も有効なソリューションであると言っても過言ではありません。
WebベースのインターネットバンキングではSSLが当たり前になっていることから分かるように、既に伝送データの暗号化は広く普及しています。次の流れは、蓄積データの暗号化です。
米国での動きは象徴的であり、法制面から暗号化を推進するために、「企業のブランド」と「蓄積データの暗号化」をトレードオフにする動きが広まってきています。FISCの安対基準においても「蓄積データ保護に向けたロードマップ策定」を求めており、数年後の日本においても、蓄積データの暗号化は当たり前のように対応されていると予測しています。
暗号化対策には相応の時間がかかります。まずはデータ保護が必要な情報を洗い出して、それらの暗号化対策の検討を開始されることをお勧めします。