企業の「IT化」が孕む「セキュリティリスク」の陥穽
科学ジャーナリスト
藤井 耕一郎さん
今年4月の個人情報保護法の全面施行をきっかけに、企業の情報漏えいに対する意識が高まっています。でも、それに基づいてどんな漏えい対策を講じても、事故はゼロにはならないかもしれません。最近でもマスターカードの顧客情報がアメリカで4000万件も流出して問題になりましたが、なぜこんなことが起きるのか。情報は、どこから漏れるのか。その背景について科学ジャーナリストの藤井耕一郎さんは「企業のIT化が進んだことで、多くの『落とし穴』が生まれている」と指摘します。「ウィルス」「サイバー攻撃」「スパイウェア」など、情報を漏えいさせる脅威が増える一方なのに、残念ながらこれらに対する個人情報保護法の有用性はほとんどありません。一体、どうしたらいいのでしょうか?
ふじい・こういちろう●1952年北海道生まれ。編集者、予備校講師を経て、フリーの科学ジャーナリスト。ユーザーを軽視した企業社会の問題点やIT化がもたらす弊害を、平易な語り口で鋭く抉る手法には定評がある。主な著書に、ロングセラーとなっている『通信崩壊』『ややこしいテレビ・DVD選びをすっきりさせる本』(ともに草思社)『NTTを殺したのは誰だ!』『幻の水素社会』(ともに光文社)。
規制緩和・自由化が進むとセキュリティリスクが高まる
企業にITが導入されるようになってから十数年。ITが業務の根幹をなすことも当たり前の時代になりましたが、最近になってITゆえのさまざまな「綻び」も見え始めています。
そうですね。ITの要であるネットワークの網目が、じつはザルに近い構造を持っている実態が、しだいにあぶり出されてきた感があります。なぜそうなったかというと、かつては企業ごとに「閉じて」いたオンラインが、インターネットと連動させるために「開かれた」ことによって、扉の開け閉めの手順がややこしくなったからです。みずほ銀行統合の際に大規模なシステム障害が発生したり、航空管制障害で航空ダイヤが大幅に乱れたりするなど、社会に与える影響の大きい事件が立て続けに起こっているのも、そのせいです。
最近もマスターカードの顧客情報がアメリカで4000万件も流出して問題になりましたが、これはカード会社から直接漏れたのではなく、データ処理を業務委託された外部の会社から漏れたものです。こうした事件は、IT化が進んで、閉ざしておくべき扉の数が増えたため、「クローズ」と「オープン」の境目がルーズになってきたことから起こった、と見なすことができるでしょう。それと、今は金融や通信の事件が注目を集めていますが、同じようなことは今後、電力やエネルギーの世界でも起こると考えられます。
どういうことでしょうか。
要は、ITが自由化・規制緩和のエンジンとして使われるからです。ITが扉を増やすのは「情報の共有」を実現して効率化を高めるのが目的ですが、当然、扉を閉め忘れた場合、本来は「共有」する仲間に加わるはずのない者が入り込むリスクが生じてきます。一般に、ITが関連するところでは、分野を問わずこうしたことが起こるのですが、とりわけ電力やエネルギーなど規制緩和・自由化が進むことが確実な分野でセキュリティリスクが高まります。
たとえば自由化が進み、企業が発電した電力の余剰分を販売できるようになると、電気が余っているという情報を広く共有できる情報ネットワークを構築しなければならなくなるので、オープンな規格が必要になる。そうした規格を採用するときには必ず、オープンな性質を持つインターネットを使うか、独自の閉ざされたネットワークを使うかという話になるのですが、効率の面を考えるとほぼ例外なくインターネットが採用されるのですね。ところが、効率的な接続が容易なインターネットは、もともと構造的にザルになりやすいのです。
ノートパソコンだけを小脇に抱えた通勤スタイルはどこへ行った?
インターネットの具体的な脅威としては、システム障害をもたらす攻撃やウィルスが挙げられると思います。ITの落とし穴とでも言うべきものですが、どういうリスクがあるのか気づいていない企業も多いです。
これについてはまず、IT管理を区分けして考える必要がありますね。たとえば、ウィルスを忍び込ませて自動的に「扉を開けっぱなしにしていく」侵入と、いわゆる「サイバー攻撃」と呼ばれる、鍵をこじ開けて管理者権限を外部から乗っ取り、ウェブを書き換えたり、麻痺させたりするものとがあります。これらは要因としては別ものですが、「戸締まりを忘れていた」場合も、「鍵をこじ開けられた」場合も、結果的にシステムがダメージを受けてしまう点では同じです。今年6月、原子力発電所で請負会社の社員がファイル交換をやっていて原発の機密情報が漏れた事件がありましたが、これは京都府警の警察官が私用パソコンでファイル交換ソフトを使用していて取り調べ情報を抜かれたのと基本的に同じパターンですね。ファイル交換というのは、知らない相手に対して自宅を開放するような仕組みだから、情報が漏えいする危険性が高い。
さらにもっと手強いのが「スパイウェア」です。スパイウェアは、人に知られることなく個人情報を盗み出すことのできる不正なプログラムですが、これにも企業から個人情報を流出させるレベルのものと、個人のパソコンから情報を抜き取っていくレベルの2つがあります。システム管理の権限を厳重にしておけば防げるウィルスやサイバー攻撃に比べて、端末を使っている人のキーボード操作をそのまま記録し、その「キー・ログ」を奪い取るスパイウェアは気づかれにくいだけに厄介です。いくらIDやパスワードを画面上で見えないようにしても、パソコンの本体は記憶している。それを盗み出すのですから。インターネット・カフェから銀行振り込みの操作をした人が、そのキー・ログを盗用されて預金を引き出された事件などはその典型ですね。まずいことに、個人のパソコンを狙ったスパイウェアはメールの中に仕込まれることもあるし、ウェブを見ただけで入り込むように仕掛けたものもあって見分けがつきにくい。
個人情報保護法が全面施行されましたが、歯止めにはなりませんか。
ITの側面から見ると有用性はほとんどないでしょう。この法律は個人のプライバシーをばらしてはいけないという基本原則にすぎないもので、セキュリティ的な意味合いはありませんから。住所・氏名・生年月日などの載った名簿が売買されることの歯止めにはなりますが、暗証番号を誕生日にしているといったあまりにも無防備なケースを除けば効果はないですよ。これで迷惑メールが減るとも思えません。そうなると、個人的に情報が漏れる「スキ」を厳密になくそうとしたら、信用できないネットとのつき合いを断つしかなくなる。それで、コンピュータ系の老舗雑誌までが「もう電子メールは使わない」なんて特集を組むようになるわけです。
USBメモリやノートパソコンの持ち出しを禁止している企業もありますね。
ええ。ですが、こうした動きはITの流れからみると大きな反動でもあるんです。本来ITは、便利さを追求して規格が統一され、それがアメーバのように広がって成長し、これによって空間的な制約が取り除かれて情報のやりとりの効率をいっそう高めてきた。インターネットのプロトコルのような規格がそうだし、記録媒体にしてもさらなる便利さを追求した結果、フロッピーディスクから大容量の小型USBメモリなどへ移行してきた。ところが、せっかくそうした便利なものがあるのに会社で使えない、CD-ROMを焼いてはいけない、というような反動が出てきてしまっています。
最近では、プログラムが一切入ってないクライアントマシンも登場してきました。起動しかできなくて、ソフトは全部サーバからもらって作業をする。社員は空っぽのマシンしか与えられないわけですけど、これはちょうど、ひと昔前の営業部隊が自分の机や電話を取り上げられた状況とよく似ています。サラリーマンには苦しい時代だと思いますね。机がなければクビにするのも本当に簡単で、あなたは明日から来なくていい、私物は宅急便で送ります、とやれるわけだから。中身のないパソコンもこれと同じことが言えます。今から十年くらい前は、鞄を持たずにノートパソコンだけを小脇に抱えて通勤する格好いいシーンがよく宣伝されていたものですけどね(笑)。
それでも便利さの追求は止まらない?
止まらないでしょうね。ITに適応できない社員に辞めてもらうと同時に、古いシステムを捨ててしまったから、戻る基盤がない。かといって、新しい仕事のやり方に適応できた人間が、みんな高いITの技能と力量を持っているわけでもない。もしそうであればセキュリティ問題も乗り切れるのでしょうけど、そうはなっていないから、どこかに基準を合わせる必要が出てくるんです。このとき、ITを「誰でも使える」ようにするには、いちばん低いところに合わせなければならないわけです。
パソコンはプログラムを知らなくても操作できるように工夫されてきた。USBメモリにしても、差し込むとすぐ認識されるのが売りで、ファイルのコピーは瞬時にできる。こういう簡単・便利を目指してきたパソコンの周辺機器は、扉をどんどん開いていく「自動ドア」にほかなりません。今や携帯オーディオ・プレーヤーも外部記憶装置の仲間入りをしてしまいましたから、会社で音楽を楽しんでいるのか、それともファイルのコピーをしているのか、区別がつかない。だから、歯止めをかける方法は、そういう周辺機器の使用を一切禁止するしかないという情けない事態になってしまっています。
社員の行動を徹底的に監視する企業が増えてきた
ITの世界で注目を集めているICタグの技術でも、情報漏えいの危険性が取り沙汰されています。具体的にどのような事態が起こっているのでしょう?
ICタグの1つの潮流にEPCグローバルという規格があるのですが、これはアメリカ国防省とウォルマートが中心となって取り組んでいる無線技術です。このようなICタグを、ベネトンが自社の商品に埋め込もうとして実証実験を行なったことがあります。とにかくベネトン製品を「身につけて」いると、ICタグ情報を読み取れる機器を通じてデータベースが参照され、その製品の持ち主がわかってしまう。やろうと思えば、製品の値段どころか持ち主の階層までわかってしまうのですね。そのため消費者団体から猛烈なボイコット運動が巻き起こって計画は頓挫しました。ICタグは、業者の生産地偽装やBSEの追跡など、不正防止に役立つ素晴らしい技術だと宣伝されるけど、そうしたところにだけ目を奪われていると、「あらゆる情報が筒抜けになる技術でもある」という点に気づきにくいですね。
ICタグは万引きの防止など犯罪の予防には絶大な威力を発揮します。あるいは刑務所での囚人の監視などに利用することもできる。日本でも新しくでる刑務所にICタグを導入して、受刑者の行動監視に使う話が進行中ですし、アメリカでは性犯罪者の追跡にICタグを使おうという動きもあります。しかし、問題はこういう「一網打尽」のシステムを導入すると、犯罪と無縁な生活を送っている人にも影響が出てくることです。たとえば、今は入退室管理用のカードとして使われているだけの社員証でも、やろうと思えば社員の行動監視にも使えますからね。
社員も犯罪者並みに監視される時代が来るかもしれない?
そうした時代はすでに来ていると言っていいのではないでしょうか。個人情報漏れを防ぐいちばん簡単な方法は、社員を徹底的に監視することですから。たとえば個人情報流出を起こしたある企業では、個人情報にアクセスできる空間に、まさに工場のクリーンルームのような機密性を持たせている例があります。個人情報はその場所でしか扱えないようにして、厳しい入室制限を設けると同時に、不審な行動に対しては警報で知らせるシステムを導入している。最近、社員がインターネットで何を見ているかをチェックする企業が増えていますが、そういう生やさしい話ではなく、社員を直接的に監視するわけですね。社員一人ひとりがどこにいるかだけではなく、何メートル動いたかまで3DのCGで表現されるシステムも開発されていますから。
企業が社員を監視する方向に進むようになったのはなぜでしょうか。問題も起こってくるのでは?
大部屋で机をつき合わせてやっていたスタイルから、個人的なブースの空間へと変わってきた潮流に対する反動とも言えるでしょう。従来の日本型の大部屋オフィスは最も安上がりな監視システムだったわけですが、それがなくなってしまった。
IT関連に限らず、社員を監視する企業は増えてきています。うつ病を契機としてアル中になったり、体調を崩して自宅療養になったりしてしまうケースが非常に多くなった背景には、「ストレス」という言葉がしばしば安易に使われますが、そこには「監視されている」状況も関わっていると思いますね。自分の行動がすべて見張られていることほど、精神的な負担になることはないですから。
個人情報の漏えい事件などでは、企業の社会的責任も問われます。藤井さんは、ITに関わる企業の責任意識に警笛を鳴らしておられますね。
「自己責任」という言葉がありますが、実は、これはITとたいへん親和性の強い言葉なんです。イラク人質事件で流行語にもなりましたが、この「自己責任」という言葉が日本のIT業界で使われる場合は、あらゆる危険性やトラブルを「顧客(ユーザー)が引き受ける」ことを意味しているのです。ウィルスを防止するのも、バージョンアップするのも、何をやるのもみんなユーザーの自己責任。失敗するとみんなユーザーのせいになる。シェア競争に明け暮れる日本の新興IT企業などは、「あらゆることは自己責任」という考え方で押し通してきましたが、こんな企業活動がいつまで続けられるのかが問われることになるでしょう。
というのも、顧客の「自己責任」を強調することは、逆に企業の責任を回避することにもなるからです。昨年、次々と起こった顧客情報流出事件では、多くの経営者が記者会見の場で頭を下げていましたが、大半の新興IT企業は社会全体に対する責任意識が明確ではない印象を受けました。顧客に「自己責任」を押しつけてきたことの延長として、こういう姿勢が出てきたとも言えるのではないでしょうか。そして、これと同じ土壌から、「企業の社会的責任」を「社員の自己責任」に転嫁する動きも生まれている。社員の監視が、そういう転嫁に利用されるとしたら、社員にとっては非常に不幸な事態ですね。
人間を点検するよりも機械やシステムをコツコツ点検する
行き過ぎた監視のもとでは社員のモチベーションの低下も懸念されます。士気を低下させることなく、事故も未然に防ぐ方法はないものでしょうか。
対処療法的な技術の問題を抜きにすれば、セキュリティを高める一つの方法は人間関係を回復させることでしょうね。だから、時代に逆行した「年功序列」に戻すことも考えてみる必要があります。膨大なお金をかけて、監視する人と監視される人に分け、がんじがらめにしたところで、しょせんイタチごっこだから。今はいちばん手っ取り早い、安くて都合のいい労働力ということで外部の人間に仕事を出しているけど、請け負うほうだって収入に見合った仕事しかしないだろうし、正社員じゃないから精神的な責任もないわけでしょう?それより、自動的に安全弁が働いて善悪の判断ができる、かつての組織形態のほうがリスクは少ないですよ。
情報の漏えいを100パーセント防ぐことは不可能だという観点から、AIUのように「個人情報漏洩保険」を売り出して商売にしているところもあります。言ってみれば、「お金に換える」という市場原理で解決する道が追求されているわけです。両方を天秤にかけて、一種のデリバティブ的な展開をやる。アメリカ人の考えそうなことだけど。ただし、こういう市場原理と人間関係の回復は両立しませんね。
結局のところ、社員を監視するより人間関係の回復だと。
最適な解はありませんが、それが一つの鍵でしょう。たとえばゲーム理論みたいに、協調する人間と裏切る人間のかけひきを数式化して損得計算するのは、話としては面白いかもしれないけど、だからといって人間は必ず悪いことをするという「性悪説」を唱えて、社員をとことん監視しなきゃいけないと考えるような会社に価値はないでしょう。病気にたとえれば、どんなに健康が害されようと、予防のワクチンと注射と消毒を徹底的に施して、悪い部分は外科的にどんどん切り取ってしまえばいいというような考え方ですが、そんなやり方でうまくいくはずがない。抗生物質なんかで薬漬けにしなくても、人間の身体はそこそこ病気と付き合って生きていける。こういう考え方に基づきたいものです。
たとえば、情報の漏えいはゼロにはできないことを認める。そのうえで、システム点検の回数を増やせばいい。最近、日本の航空業界で妙に危ない事件が増えている裏に効率を最優先にした点検の合理化と企業合併によるギクシャクした人間関係があるというのは定説ですが、これは企業のIT化にも通じる話だと思います。人間を点検するより、機械やシステムをコツコツ点検すること。結局はこれしかないと言えるのではないでしょうか。
(取材・構成=岩崎義人、写真=中岡秀人)
取材は7月8日、横浜市内のホテルにて
さまざまなジャンルのオピニオンリーダーが続々登場。それぞれの観点から、人事・人材開発に関する最新の知見をお話しいただきます。
