政府機関統一基準適用個別マニュアル群

内閣官房情報セキュリティセンターが以下の文書群を新たに公開しました。

• 政府機関統一基準適用個別マニュアル群
  

公表日が、9月11日という意味ありげだったり、URLが、kijun_man だったりと、つっこみどころ満載ですが、内容はいたってまじめなものです。

たとえば・・・

公開されたのは、１９文書４０ファイルですが、ここでは１つくらい紹介しておきましょう。

「情報の格付け」は、ISO/IEC 17799 のコントロールにもありますが、具体的なことが書いていないので漠然としたままということもあるかもしれません。
統一基準適用個別マニュアル群の中には、

• DM3-01 情報の格付け及び取扱制限に関する規程 策定手引書
  
• DM3-02 情報取扱手順書 策定手引書，情報取扱手順書 雛形
  

などを参照すると、具体的なイメージがつかめるようになると思います。

その他にも、「雛型」と称して、「たたき台」を示しており、さらにその「たたき方」を「策定手引書」と称して補足説明していますので、「政府機関統一基準適用個別マニュアル群」のページでご確認ください。

政府の公開文書というのは、改訂するのに色々と事務手続きをふんで、履歴管理をするのが一般的なのですが、この「統一基準適用個別マニュアル群」については、ページ冒頭の注意書きにもあるように、よりよい情報をタイムリーに提供することを優先して、随時改訂されることになります。
ダウンロードして蓄えてしまうよりも、必要なときに、随時アクセスして最新版を入手するように使うのがよいと思います。

「暗号化」と「暗号で保護する」を使い分ける

まるちゃんの情報セキュリティ気まぐれ日記に投稿されていた、
　・個人情報の暗号化と安全管理措置
　・個人情報の暗号化と安全管理措置のコメントへの回答
を読んで、「暗号化」と「暗号で保護する」という表現を使い分けるのがよいと思った。

経済産業省の個人情報保護ガイドラインにおいて、第２０条部分で特段に暗号についてふれなかったのは、次のような消化をしたからだ。

・個人情報を暗号化しても個人情報であることには変わらない。
・暗号化とは（実際には情報が変換されるがそうではなく）情報を包み込むようなものとして位置づけた。
・暗号化することとは、紙面に記載された個人情報のリストを鍵付きの箱に入れて送ることとして考えた。
・たとえば、郵送であれば箱ではなく封筒となるが、封筒の強度を定量的に議論することがないのと同じく、暗号の強度などについてもふれないのが妥当と考えた。

情報を記載した紙面を鍵つきの箱に入れると、紙面と箱が有形物として異なるため、紙面が保護対象であり、箱は保護手段であるという分担が直感的にわかりやすい。
それに比べ、暗号化では、データそのものが変換されるという処理に着目してしまうと、暗号化する前と後をともに１つの情報として考えてしまい「暗号化された個人情報」という個人情報が加工された表現のようになってしまう。
これは技術的にはまったく正しいが、そのまま直接的に安全管理措置の保護対象としての情報として取り扱うと混乱のもととなる。

「暗号化された個人情報」という表現は普通にするし間違っていないが、技術的な処理方法を直接取り扱うという呪縛の表現だと思えてきた。
そうではなく、「暗号によって保護された個人情報」という表現を使うと、少しはすっきりするのではないだろうか。
英語だともうちょっとわかりやすいかもしれない。
Encrypted personal information
と言うよりは、
Personal information protected by encryption
と言う方が整理が進むのではないかということだ。

個人情報が暗号化されたら、個人情報が暗号という箱に格納された状態をイメージするとよい。
このことは技術的にはまったく間違っているが、個人情報の暗号化と安全管理措置の関係を整理するときには、考察しやすくなるに違いない。
技術的な意味での正確さを維持したままの表現で、管理を議論すると、技術からの中立性が実は奪われてしまうのかもしれないと言える。

仮に「暗号による保護」を「鍵付きの箱による保護」と割り切ってしまうという大胆なことをすると、箱の強度を考えたときに、箱の素材の強度だけを論じるのでは不十分だということなどを直感的に取り上げやすくなり、技術屋ではない者を議論の中に取り込みやすくなる。
そのように議論したうえで、「箱のこの機能は暗号ではどうなるのか？」という問いに対して、技術屋はそれを機能要件と捉えて実装手段に関連付ければ、技術的な正確さを失っていることは、後でつじつまあわせをすることができる。
そのような手法を取れば、暗号化することによる安全性について考察するときに役立つ。

特に技術屋といっても、多くの技術屋は暗号技術についての知識が実は貧弱だ。
そういう技術屋を見抜くのにも、暗号を箱に置き換えて説明させるのは役立つ。
まるちゃんも引用している、高木浩光＠自宅の日記にある
流出した暗号化ファイルと傍受された暗号化通信データの違いの中で触れているように、安全性はパスワード頼みということが多いことについて、管理を議論する者が気づきやすくなる。

技術屋に、鍵付きの箱と暗号の関係において、パスワードと暗号強度がどのように関連付けるかを質問するとよい。
パスワードは挿入する鍵に対応し、暗号強度は錠前の強度に対応すると答える者がいるかもしれないが、そういう者に暗号による保護を相談しない方がよい。
ほぼすべての暗号製品では、パスワードが挿入する鍵に対応するのは間違いないが、暗号強度は箱の強度に対応してしまう。本来重要な錠前の強度がとばされているということだ。
箱がいくら頑丈であっても、錠前が脆弱では箱は無傷のままで箱の中身が盗まれてしまう。
暗号のアルゴリズムと鍵のビット長ばかりを議論するが、それは箱の強度でしかないということだ。
箱の強度は大切だが、錠前に相当する部分が、その暗号製品ではどのように保護されているかを確認する必要があるのに、ほとんど議論されることがない。
その点において、高木浩光氏の「パスワードのレベルに落ちている」については同感だ。
ただ、そのように説明されると同感だと理解できる程度の技術屋では、相談相手としては、なお不十分だ。
暗号強度が錠前の強度になるにはどうなっていればよいかを明確に答えられるなら、相談するのに十分だ。
それについての答えはここでは書かないことにする。
書いてしまうと、答えだけ暗記する者と十分な知識がある者を見抜きにくくなるだろうから・・・
見抜きたい相手に答えさせて、その内容に納得できれば、それが正解だと思えばよい。

個人情報の暗号化ということで書いたが、このことは、個人情報には限らない情報の安全管理措置における暗号化の位置づけと同じことになる。

「暗号化」という言葉は、技術論議のときだけ使うことにして、管理を論じるときには、「化」を付けずに「暗号による保護」という言葉を用いるのがよいのだろう。

そうすれば、暗号を情報の状態ではなく、管理策の手法として位置づけることができ、アクセス制御などとの関係を決めやすくなる。
「暗号化された情報をアクセス制御で保護する」
という言い方は避け、
「情報を暗号とアクセス制御で保護する」
と言うことを心がけるのがよい。

個人情報の利用目的通知とデータ管理方法

１週間前に掲載されていたのに、こちらでの紹介は今頃になってしまいました・・・

ThinkIT の連載の最終回は、利用目的の通知とデータ管理としてまとめました。

記事は以下に掲載しています。

第６回：利用目的の通知とデータ管理

個人情報保護法の肝とも言えるのは、取得時における利用目的の通知です。
その方法について紹介しました。
また、通知した利用目的の範囲で利用するためには、個人情報のデータ管理と組み合わせておかなければなりません。
そのため、利用目的の通知とデータ管理は両方を見据えながら検討する必要があります。
オプトインを取るよりも取らない方が、取得時の工数も減り、その後の利用範囲が広いように思われ、オプトインは取らないに越したことことはない。と考えがちです。
しかし、必ずしもそうとは限らないことについて紹介しましたので、参考にしてください。

連載記事のバックナンバーは以下のとおりです。

第１回：データが語る個人情報保護法の実態
第２回：企業における対応方針と成功の秘訣
第３回：個人情報の分別
第４回：社内ガイドラインの作成
第５回：コストをかけずにできるセキュリティ対策