2020/03/16
【活動報告】データ流出時代の諸問題を紐解く~官公庁、組織、個人のデータ保全について~

2020年3月10日(火)18:00より、「データ保全カンファレンス2020」を開催し、Zoomによるオンライン配信を行いました。今回は、データ保全の観点から、官公庁、企業、個人にどのような問題があり、どのような対策をしていくべきか、データ保全にまつわる各業界の専門家をお呼びしてお話を伺いました。



登壇者(敬称略)

独立行政法人 国立公文書館 前館長 慶應義塾大学名誉教授 高山 正也
ALSOK 開発企画部 情報セキュリティサービス推進室長 佐藤 将史
くたばれPPAP!  管理人 大泰司 章
エドコンサルティング株式会社 代表取締役 江島 将和
株式会社まーけっち 代表取締役 山中 思温
データ保全推進研究会  理事長 株式会社ボウラインマネジメント CEO 野村 貴彦



イベント会場風景


イベント会場風景


最初に、データ保全推進研究会理事長 野村貴彦より開会の挨拶があり、イベントがスタート。以下の通り、まずは第一部で官公庁のデータ保全について、第二部では企業(組織)のデータ保全について、そして最後の第三部では個人のデータ保全についてディスカッションが行われました。

第一部 官公庁のデータ保全
(1)桜を見る会の問題、日本の公文書管理の問題について
これらの問題が起こったそもそもの原因としてあげられた問題点は、欧米などを参考に取り入れた制度が日本の文化に合っておらず、運用面で弊害が生じている点。また、それが公文書管理にも影響を与えているため、わが国にあったルールを作ることが大事であることが必要とのこと。一方、独善的にならないよう、諸外国との違いを意識し、位置づけを理解しながらバランスをとっていくことが重要といった意見がでました。

(2)自治体向けクラウド障害からみえる課題について
2019年末に発生した障害に関しては、外部サービスに過度に依存した点の指摘がありました。国も含めて、クラウド移行への流れはあり、優れたサービスをうまく取り入れていくことは必要なものの、責任範囲の明確化が必要などといった声がありました。

第二部 企業(組織)のデータ保全
(1)有名企業の漏洩はなぜ起きたか
こちらも昨年末、今年1月に相次いで発覚した事件をもとに振り返りましたが、それぞれの事件ともに、該当企業は厳格な体制・管理を有している一方で、系列企業などを起点に攻撃がはじまっており、大企業だからこそ、協力会社を含めた全体の管理が難しい点が課題であるという話がでました。また、発覚するまでに時間がかかり、対策が遅れた点も今後、我々が教訓とすべき点であるとの意見がでました。
いずれにしても、現在の技術や管理方法では、全ての攻撃から完全に防御するのは不可能であるため、重要データはオフラインで管理することを徹底すること、また攻撃に早めに気づき、攻撃を受けた後どう対処するかという仕組みづくりが重要とのことでした。

(2)メール、FAXについて
多くの企業や個人では、メールで重要データを暗号化して送ることが日常的に行われていますが、一通目が見られるとパスワードを送る二通目も見られるので、あまり意味がないという指摘がありました。パスワード自体も、最近は無料の解析ソフトが出回っており、一般の個人でも簡単に解析ができるようになってきているため、メールの受信者に手間をかけさせるだけでなく、リスクまで負わせるため、安全性の高いクラウドサービスの活用をお勧めするとの意見がでました。
なお、FAXについては、メールよりむしろ安全性は高いといえます。しかし、誤送信等のリスクが存在するとのことでした。

(3)どのようにデータを保管するか
事業戦略とセキュリティの観点で、どのデータをどう残し、どう活用するかを決めて管理していくことがまず重要との意見がでました。また、現在のSNSの普及で、ファイルの共有やプロセスは見やすくなっている一方で、従来の形でのフォルダ単位でのアーカイブはやりづらくなっているとの話もでました。

(4)電子契約、電子納税が進む上での課題について
電子契約については、様々なサービスがでてきており普及が進んでいるものの、安全性などはサービスによってまちまちで、選択の際は注意が必要であり、それぞれの電子契約データ自体をつないでいくことで利用者の利便性を高めていくべきでは、との意見がありました。
また、本年4月からいよいよ始まる電子納税義務化(資本金1億円以上)に関しては、申請だけのための対応が目立つため、業務全体のデジタル化を進めていく必要性があるとの話がありました。

(5)シャドーITについて
シャドーITとは、会社が管理していないITサービスを指しますが、厳格化しすぎると、個人や各部署が勝手に利用をはじめてしまうことになります。一例として名刺管理サービスがあり、そもそもデータが会社のものか、個人のものか、利便性の一方で転職活動に使われてしまうリスクもあるため、ツールを指定し、ルールをある程度決めて使えるように勧めるべきという話がありました。

(6)歴史的資料について
従来は、例えば10年ごとに社史を作る、といった例が多かったですが、あまり読まれないのが実情。製造業であると博物館を作っているところもあり、単に記録を残すだけでなく、歴史を残す視点が大事との意見がでました。また、裁判などの証拠のために過去の資料を残していることがありますが、データが膨大になってきており、何を残していくかが課題との話もありました。

第三部 個人のデータ保全
(1)個人主役の時代に、データはどうやって護るか
個人情報は、サイバー的にもフィジカル的にも護ることが重要ですが、デジタル化が進んだ今、クラウドに情報を残しておくことが多くなりました。しかし、クラウドに預けていれば安全、ということでもないので、そのサービス内容もしっかりと見極めないといけないとの意見がでました。
また、個人のデータ管理は終活の一環としても大事なことで、生きている間に、自身のデータを見ることができる人を指定できるサービスなどがあると良いとの話もありました。

(2)ダークウェブへの対処法について
特殊なツールを使ってしか見ることができないインターネットの世界ですが、そこでは様々な個人情報やけん銃、ドラックなどが売買されています。何があるか分からないのでそこにいかないのが一番ですが、ここで気を付けないといけないことは、普段インターネットを使う際にも共通するとのこと。たとえば怪しいサイトにはクレジット情報は登録しない、サービスのIDやPWを使い分けする、万が一漏洩があったらすぐに対処する、こういった基本的なことを意識することが大事だとの意見がでました。

(3)マイナンバーについて
マイナンバーは普及していますが、普及していないのはマイナンバーカード。しかし今後、身分証明書やポイント還元で使われ、身近なものになっていきます。ただ、今法律で利用目的が限定されていますが、そこを広げていくことで、より利便性の高いものに今後なっていくのではないか、またどのような便利なサービスを作れるか、すなわちどのように活用するかが重要になるとの意見がでました。また日本が今後、個人情報をどのような方針で管理していくかは重要なことであるとの話もありました。

まとめ
最後には全体を通しての質疑応答の時間や、登壇者と直接話す機会も設け、閉会となりました。
今回は、官公庁、組織、個人と、さまざまな観点からデータ保全について話し合い、各業界の専門家の方々の貴重なご意見を聞く充実したイベントとなりました。ご参加いただいた皆様、ありがとうございました。

今後もこのようなイベントやセミナーを実施し、我が国の国際競争力の維持・向上に不可欠な”データ”の効果的な利活用を行える社会の基盤づくりに貢献すべく活動して参ります。