先日またもや大量の個人情報に関わる情報の漏洩が政府に近い組織で起こり社会の問題となっています。いわゆる匿名掲示板にその漏洩が公式にその組織から公表される前に内部からその事実が投稿されるなど、当該組織のモラルが問われるような状況に、多くの関係者が「誰も信じられない」という気持ちが正直なところではないでしょうか。
インターネットに支えられる情報基盤による利益は幅広く社会全体で享受されるようになった今、ほぼあらゆる人々、組織が何らかの形でその基盤を利用しています。その結果、大切な情報や機微に関わる情報をそのネットワーク経由でやりとりをしたり保管する機会が増えています。その利便性を享受し続けるためには誰がなにをすればいいのでしょうか。
今回はその点についてすこし書いてみようと思います。はじめに書いた、ある組織からの大量の個人情報の漏洩は、新聞で報道されている内容を見る限り、組織としての情報管理が全くもって現代の必要条件を満たしておらず、その結果大量の漏洩を起こしたものと言わざるを得ません。現在国会で審議されている個人情報保護法は10年以上前に制定され、その中で明確にその保護がうたわれているのにそれが適切に行われていなかった。さらに、その元となる組織は同じような問題で改組され新たに出来た組織なのに。これは、情報を守るための情報インフラだけを整備しても、それを使う人々、組織が正しく教育をされていなければなにも意味が無いことを示しています。自動車のシートベルトが付いていても、その使い方を理解して正しく装着しなければ意味が無いことと同じです。
現在の情報セキュリティの課題は、情報システムを管理する組織だけの責任ではなく、それを利用する個々人に至る理解が重要だということを今回の事故が示しています。多くの組織では、毎年のように情報セキュリティ、プライバシー保護のトレーニングを課す一方、それらの理解の薄い組織は利用者にいたるところにまでの広い意味でのインフラの構築ができていない危険性があります。利用者に至るまでの教育が行き届いていれば、何かが起こった時に小さな被害で食い止めることができ、意図しない事故の被害を大きくする前に食い止めることができます。
私達トラステッドコンピューティンググループ(TCG)は、それらのインフラを保護する一助となる技術を社会に提供しています。それらは、管理者のみならず、利用者にいたるまでが情報セキュリティに対する必要な理解を持つことで初めて適切に機能します。複雑な機能をうまくまとめ、わかりやすく、運用しやすくすることを管理者の皆様と協力をしながら徐々に実現しております。今回の経験から、ぜひとも必要最低限の理解を個々のユーザーのレベルにまで持っていただきながらこれからもこの素晴らしい環境を社会として積極的に活用していければと考えています。
参考までに、個人が自らを守るというメッセージを私達の仲間である奈良先端科学技術大学院大学の山口先生が記述されているのでリンクを記させていただきます。http://www.mugendai-web.jp/archives/3937
ブログに関するお問い合わせは、TCG事務局日本窓口までご連絡ください。
Membership in the Trusted Computing Group is your key to participating with fellow industry stakeholders in the quest to develop and promote trusted computing technologies.
Standards-based Trusted Computing technologies developed by TCG members now are deployed in enterprise systems, storage systems, networks, embedded systems, and mobile devices and can help secure cloud computing and virtualized systems.
Trusted Computing Group announced that its TPM 2.0 (Trusted Platform Module) Library Specification was approved as a formal international standard under ISO/IEC (the International Organization for Standardization and the International Electrotechnical Commission). TCG has 90+ specifications and guidance documents to help build a trusted computing environment.