改正個人情報保護法が施行され、個人情報の保護がIT関係者の重要な課題の一つとなって久しいですが、それでも、こんなユースが流れてきています。

www.itmedia.co.jp

特に気になった部分が

問題の原因は、システムの不注意な設定にあったという。発見されたシステムの多くはパスワードや暗号化といった対策が施されておらず、PACSサーバのIPアドレス一覧と対応するビュワーさえあれば、簡単にアクセス可能な状態だったという。なお、IPアドレスの一覧もビュワーも、インターネットを通じて誰でも入手できる。

という部分です。個人情報の暗号化を実行していないというだけでなく、パスワードの設定すらしていないとう、なんとも言いようのない状態でした。

まず、個人情報暗号化についてですが、下記に情報セキュリティについて東京地裁の判例があります。この記事では「要件にセキュリティ対策を施す」とは記載がなく、口約束もありませんでした。

enterprisezine.jp

この記事を読むと

　(東京地方裁判所 平成26年1月23日判決より)

　ベンダは，平成２１年２月４日に本件システム発注契約を締結して本件システムの発注を受けたのであるから，その当時の技術水準に沿ったセキュリティ対策を施したプログラムを提供することが黙示的に合意されていたと認められる。そして，本件システムでは，金種指定詳細化以前にも，顧客の個人情報を本件データベースに保存する設定となっていたことからすれば，被告は，当該個人情報の漏洩を防ぐために必要なセキュリティ対策を施したプログラムを提供すべき債務を負っていたと解すべきである。

と解釈できます。

では最低限の対策とは、どのような事でしょうか？自分は

・個人情報は必ず暗号化を施す

・格納するサーバは、データを参照したり入力／加工したりするサーバとは別にする

・入力／参照／加工サーバおよび参照が必要なPCからのみデータを格納しているサーバへのアクセスを許可する（許可がないPCやサーバからはアクセス禁止）

・格納するサーバへのデータ入出力は経路も暗号化を実施する

・最新のセキュリティパッチを適応して納品する（納品されている）

・SQLインジェクションアタックなどの対策のため、フレームワークのセキュリティー対策を積極的に取り入れる

が、プロとして対策する最低限だと考えます。

インターネット上のクラウドサービスも、WEBサーバ屋DBサーバのサービスだけを貸出しするSaaSやサーバー機器に当たるインフラだけど借りるIaaS、両社の中間であるOSなど特定の環境がある程度導入済みのコンピュータをサービスとして貸出するPaaSがあります。

これらのサービスにより、上記の対策方法は変わりますが、個人情報を保護するという目的に変わりはありません。なにか気になることがあれば”本当に個人情報はほごされているの？”という視点を常に持って、わからないことがあればSI会社やITコンサルなどの信頼できる方に相談してください。

もしも個人情報が漏れた場合は、被害を被るのはベンダーではなくシステムを業務で利用しているユーザであり、そのシステムでサービス提供を受けている顧客です。システムを開発したベンダだけに責任を押し付ける問題でもありませんし、結果的に損害賠償をベンダが行ってもユーザ企業やユーザが被った被害は別問題です。システムをを導入するなら、それにどんな危険があるのかをベンダと共に良く話し合い、自身でも様々な情報収集に努める、わからなければ納得できるまで質問する、専門家に相談する、などの姿勢が必要だと考えます。

リモートデスクトップ構築は明日以降で記事にします。