無料通信アプリ「LINE(ライン)」利用者の個人情報が、中国の関連会社で閲覧できる状態になっていたことが明らかになるなど、ここ最近、日本では、個人情報の保管・管理の方法を巡り、議論が白熱している。
個人情報を守るには、各国の法律が当局による情報アクセスをどのように規定しているのか、どのようなリスクが規制上あり得るのかを念頭に置き、どの国に情報を保管するかを検討しなければいけないのは当然である。
その上で、さらにサイバーセキュリティ対策が必要だ。不正アクセスを防ぐための暗号化や自社内のアクセス権限の設定、万が一情報が流出した際に警報を出し、迅速な対応を可能にするシステムの導入などが求められる。
だからこそ、個人情報のセキュリティを巡る議論を自国内での保管・管理如何だけに矮小化すべきではない。規制上、利用者や従業員の個人情報の居住国での保管が求められ、情報の持ち出しが制限されることもあり得る。
狙われる大量の個人情報
また、自国内に情報を保存したからとて、サイバー攻撃で盗まれる危険性が下がる訳では決してない。個人情報は、国家だけでなく、サイバー犯罪者たちも虎視眈々と狙っている。同じ情報が盗めるのならば、防御の弱い箇所を突く。
個人情報を犯罪者が標的にしている理由は、ブラックマーケットで売買できる金儲けの手段だからだ。例えば、2020年時点での個人情報の値段は、インターネットバンキングへのログイン情報が25ドル、米国の運転免許証が550ドル、米国、カナダ、ヨーロッパのパスポート情報が1500ドルと言われている。一方、国家は、さらなる巧妙なスパイ活動の標的を絞り込むために詳細な個人情報を必要としている。
米国では、近年、サイバー攻撃による大量の個人情報窃取が立て続けに発生している。2015年に米ユナイテッド航空から数百万人分の米国人旅行者の個人情報が、米連邦人事管理局からはなんと2210万人分もの連邦政府職員の個人情報が盗まれた。ブルームバーグ通信は、同じ中国のハッカー集団が両サイバー攻撃を行ったようだと報じている。
ユナイテッド航空は、米連邦政府が出張に使用する航空会社である。米連邦人事管理局には、連邦政府の仕事に応募した人々の名前、住所、家族、外国人を含む交友関係、借金などの金銭状況、精神疾患やドラッグの利用歴などの機微な個人情報が保存されていた。
また、2014〜2018年にかけて、米ホテルチェーン最大手のマリオット・インターナショナルからも、3億8300万人分の宿泊客情報が窃取された。ポンペオ国務長官(当時)は、2018年12月、攻撃を行ったのは中国であると非難している。
ただし、中国政府はいずれも関与を認めていない。
早急に求められる対策の強化
これだけの大量の個人情報を集められれば、国家安全保障の重要案件に関わっている政府要人や企業幹部がどこに住み、いつどのタイミングかつどのルートで出張しているのか、どのような個人的な弱みを持っているのか、巨大なデータベースを作れる。
米連邦人事管理局のデータベースには、連邦政府職員の外国籍の友人や仕事上の付き合いのある外国人の名前、住所、連絡の頻度や方法、勤務先の名前と住所も入っている。米連邦政府の要人と親交のある人々の中には、日本人の政治家や政府関係者、企業幹部、有識者も含まれるはずだ。
流出した情報に基づくデータベースで、そうした日本人の名前や住所、連絡先の把握も可能だろう。ソーシャルネットワークサービス上のやりとりに関する情報も窃取できれば、頻繁に訪れる場所や好み、弱みを分析できる。
個人情報が何故狙われているのか理解できなければ、行き届いたセキュリティ対策など取れるはずがない。今回の個人情報管理を巡る論議は、日本が日本人の個人情報をいかにして守るか問い直す好機である。今まで日本人が直視してこなかった自分たちの情報に対する脅威を見据え、そのセキュリティ対策を早急に強化しなければならない。
<注>個人情報の窃取問題については、拙著『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社)の32〜38ページを参照した。
