“データベース暗号”は本当に必要なのか?<2>

IT・IT製品TOP > Key Conductors > 片岡 裕紀(トライポッドワークス株式会社) > “データベース暗号”は本当に必要なのか?<2>
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

“データベース暗号”は本当に必要なのか?<2>

サーバー 2014/03/18

 前回の 「"データベース暗号"は本当に必要なのか?<1>」 では、<データベース暗号> で防ぐことができる脅威の範囲について触れました。本稿では、<データベース暗号> が法的に必要とされる理由について、再認識も含め触れていきます。

データベース暗号が必要な背景―

 そもそも、データベースに限らず個人情報を保護する目的は誠実に我々の情報を保護したいという考えから起こるべきです。
僕は見えない敵から僕たち自身の情報やプライバシーを護ることだと思っています。(人狼ゲームみたいなものでしょうか?)

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 しかし、僕たちが提供した情報を企業が適切に取り扱っているかどうかなんてわかりません。

 「個人情報の保護に関する法律(個人情報保護法)」 や 「PCI DSS」 などは、企業が営利目的に個人の情報を軽視しないようにするための措置です。

 現代では、これら法制度やガイドラインが社会的影響力を持つことで個人情報の保護が重要視されるようになっており、クラウドサービスが普及することで安全対策措置は、さらに注目されてきています。

 企業は、これら対策の一環として <データベース暗号> を検討します。

 決して悪い事ではありませんが、この 「個人情報保護法」 を基点に各種ガイドラインの普及が始まり、評価・認定するビジネスも生れています。

※  個人情報漏洩の保険まであるのは、ありがたい話です。
※  近年では、過度なプライバシー保護が企業の競争と成長の妨げになってしまうこともあるため 「パーソナルデータの利活用に関する制度見直し法案」(2014年2月現在) が話題になっていて、改めて様々な議論が交わされているようです。

なぜ 「個人情報保護法」 やガイドラインを遵守するのか?

■PCI DSS ( Payment Card Industry Data Security Standards )

 「PCI DSS」 は、法律ではなくクレジットカードを取り扱う事業を対象にしたセキュリティ基準です。これに関していえば認定されることで損害賠償が <免責> されます。このドキュメントには、PAN(Primary Account Number)を暗号化することが記載されています。

 例えば、 「PCI DSS」 の要件3 「保存されるカード会員データの保護」 では、個人に関する情報をワンウェイハッシュで暗号化すべきであると記載されています。つまり、この場合は復号化できない (元に戻すことができない) 暗号化を指しています。

■個人情報の保護に関する法律 ( 個人情報保護法 )

 「個人情報保護法」 の場合は、もっと複雑です。「個人情報保護法」 は、法令と政令にまたいでいます。
 まずは、この法令の 第一条 をお読みください。

「個人情報の保護に関する法律」 ― 第一条

この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

 この先の 第二条第三項第五号 に <政令で定める者> という文言が現れます。

 この<政令で定める者>とは、事業者にあたり過去6ヶ月以内に 5,000件の個人情報を超えない場合<個人情報取扱事業者> に該当せず同法の義務は課せられない趣旨のことが明記されています。(「個人情報の保護に関する法律施行令 ― 第二条」 を参照)

 逆にいえば、事業者にあたり過去6ヶ月以内に1日でも5,000件の個人情報を超える場合は、<個人情報取扱事業者>に該当して義務が課せられることになります。ただし、この定義に該当しない場合でも法令の第三条では下記のようにもあります(以下参照)

「個人情報の保護に関する法律」 ― 第三条

個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。

 要は、個人が社会生活で適度なプライバシーを保ちながら権利利益を失わないような措置が必要になるということだと思います。

■ 「個人情報保護法」 では、“暗号”と明記されているわけではない

 お気付きのとおり、 「個人情報保護法」 では 「PCI DSS」 と異なり、“保護に務めるべき”とあり“暗号化するべき”と明記されているわけではありません。
 しかし、少なくとも<個人情報取扱事業者>に該当する場合は、特定の個人を識別できないように個人情報を必要かつ適切な方法で安全に管理しなければなりません。(じゃあ、その方法が <データベース暗号> かというのが焦点です。 )

「個人情報の保護に関する法律」 ― 第二条

この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

「個人情報の保護に関する法律」 ― 第二十条

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

結局、データベース暗号は必要なのか?

本当に法的な拘束力がない?

 仮に個人情報が漏洩したとき、漏洩した情報や経路などを提示することになるでしょう。
漏洩した経路が<データベース暗号>で防ぐことのできる脅威であったとき、判定に不利な影響を与えかねません。当然ながら、これは被告にとって(企業にとって)不利益なリスクの1つにあたります。少なくとも司法には、それら証拠や証言をもとに判決する執行力があります。

データベース暗号の必要性は?

 企業は、この類の法令やガイドラインなどの内容をリスクと照らし合わせて対策を行います。

 これらの法令やガイドラインを満たすことで企業は自らのビジネスが阻害される不安要素(信頼の低下や取引停止、事故の処理など)を排除するために個人情報の保護を行うのです。また、情報漏洩により民事訴訟や刑事訴訟が起こったとき、裁判で戦うための対策も兼ねています。結果として、その働きは僕らの個人情報を安全に保護することになっているのは事実として認めなければなりません。

 企業も個の集まりです。僕らが集団に属することで見知らぬ個の権利利益を見失うならば、また個である僕らは黙ったまま権利利益を放棄すべき(主張できる立場でない)ことを意味するように思います。

 「"データベース暗号"は本当に必要なのか?<1>」 でも寄稿させて頂きましたが <データベース暗号> にも防ぐことのできる脅威があります。防ぐことのできる脅威があるならば対策することは、“必要”ではないでしょうか。そして、それを行使できる“力”が備わっているならば、なおのこと行うべきだと思います。
 <データベース暗号> により不利益を与えるならば対策する必要はないでしょう。しかし、近年の技術進化により <データベース暗号> もより身近になっているものと思います。

 ここまでの文章を読み直すと <データベース暗号> というよりも個人情報の保護が主になってしまいました…orz。

 次回の 「"データベース暗号" は本当に必要なのか?」 からは、鈍りきった腕と頭を使って思いだしながら技術的な情報を寄稿していきたいと思います。

 「個人情報の保護に関する法律施行令」を読みたい場合は、「電子政府の統合窓口 イーガブ」 から参照することができます。
もし、判例などを調べたい方がいれば、「情報公開・個人情報保護関係 答申・判決データベース」 というものもありますので参考にしてみてください。
 また、データベースセキュリティのプロが 「DataBase Security Consortium(DBSC)」 という活動を行っていますので是非こちらも参考にしてください。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30007084


IT・IT製品TOP > Key Conductors > 片岡 裕紀(トライポッドワークス株式会社) > “データベース暗号”は本当に必要なのか?<2>

このページの先頭へ

キーマンズネットとは
1978年、福岡県出身。2004年にプログラマとしてITベンチャーに転身。RDBMS向けの<国産>セキュリティ ソフトウエア開発とプレセールスを経験。その後、少しだけ経営を携わり、2010年12月にトライポッドワークス株式会社へ入社。

ページトップへ