マイナンバー・ICTが拓くセキュアで豊かな社会
第6回 カフェ発 業務プロセス想定の難しさ 適切な情報管理のあり方とは?
ICT
2019.04.08
実行可能な手順を決めて情報管理
「その暗号化による個人情報対策、全員でできればよかっただろうが、的場さん以外、使いこなせなかったんじゃないの」
「わかりやすいように、ソフトウェアのファイルもUSBに入れておいたんです。しかも、片方にはREADMEもつけておいたし」
的場は、未だ興奮冷めやらずという感じでまくし立てた。一方の竹見は自分のペースを崩さず、ゆっくり話を続けた。
「確かにある程度パソコンに詳しい人なら使いこなせるかもしれない。でも、パソコンをたまにしか使わない人にとって、暗号化や鍵の意味を正確に理解するのは難しいと思うよ」
「ちゃんとマニュアルは作ったし、その通りにさえやってくれれば……」
「その手順をする意味まできちんと説明したのかね?」
「いや、そこまでは。やり方は書いたのですが……」
だんだん返答のペースがおちた的場は、再びカウンターに座った。
「人間、目的がわからないまま複雑な手順を渡されても使いこなせないものなんだ。実際に扱う現場の人にとって、暗号化や鍵管理はとても面倒だからね。特に今回のように、ITに関するリテラシーが低い人にとっては、意味も全然わからなかったと思うよ」
「確かに、僕がちゃんと説明して歩けばよかったかもしれません。その時間があるなら、入力を少しでも進めた方がよいと焦ってしまって……」
さっきの勢いがすっかりなくなった的場は、声のトーンもおちていた。
「なかなか難しい問題だよ。似たような事例は、年金の情報漏洩問題(**)でもおきたんだ。機構のマニュアルには“情報ファイルをパスワード設定しなければならない”という記載があったにもかかわらず、職員の多くが複雑な業務をする中で、パスワード設定する時間を惜しんだんだ。つまり、時間を優先したために、ファイルを設定せずにやりとりをするのが横行していたらしい。もちろん、業務として決められたことだから暗号化などは行うべきだったと思う。しかし、他の業務で多忙を極める中、本当にそのプロセスが出来たのだろうか。本来、その点についてきちんと検証するべきだと思うんだけどね」
竹見が、的場の顔を見て、ほほ笑みながら言った。
「なるほど、業務で定められていても、やらない人がいるということですね」
的場は、かみしめるようにして言った。
「使う人にとってセキュリティ対策は、単なる邪魔だと思うことも少なくないんだ。そもそも過剰なセキュリティ対策は、全体の士気を下げかねないし、逆にちょっとした解釈ミスから別の穴をつくってしまう危険性も指摘されているんだ」
「でも、暗号化は必要ですよね。今回は、どうすればよかったのだろう?」
「一つは、的場さんが関係者全員に丁寧に意図を説明したうえで、各個人のパソコンの前で操作を手伝うところまでやるべきだったかもしれないね。でも、それでは的場さんも他の人も時間がかかるし、大変な作業量になってしまう」
「そうするぐらいなら、僕が入力した方がはやいですよ」
的場は、悩みながら言った。
「そのとおりだろうね。もう一つは、別の専用ソフトを利用せずに、デフォルトでついているセキュリティ対策を使ってしまえば、簡略化できたかもしれないね」
「でも、その場合も鍵のファイルをどうすればいいんですか?」
「紙で、『取扱注意』と赤く大きく記載して、ランダム15文字ぐらいで一枚だけつくればいいんじゃないかな。みんな、個人情報が大事だということはわかっているから、そのファイルにそって、ちゃんと入力をしてくれると思うよ」
竹見の説明に納得しない様子で的場が言った。
「それって、“パソコンの画面にパスワードを貼っては意味がない”というのと同じでは?」
「確かに紙での情報が漏洩したら問題だと思う。でも、今回のように商店街の人たちに説明せずにできることは、その程度で限界だったんじゃないかな。そのぐらいなら、説明を読んでやってくれるだろう。いずれにしても、大事なのは実行可能なプロセスを設定することなんだ」
「 そうかぁ。」
そう言うと、的場はすっかり意気消沈してしまった。
「なかなか納得はいかないだろうし、僕も的場さんが考えた対策はそれなりに安全性も高かったと思うよ。ただ、全員が出来ることを考慮すると、その程度になってしまうときもあるということだよ。このあたりのバランスは難しいね。僕もいつも悩むんだ。とりあえず、さっきのお店に行って、ファイルを手に入れてそれなりの対策をしてきたほうがいいね。その際、あまりそのお店を怒らない方がいいよ」
「もちろん、怒ったりはしませんよ。さっきの竹見先生の話、身にしみました。逆にわたしの対応がわるかったと謝ってきます」
そういうと的場は、カフェデラクレをあとにした。
**年金の情報漏洩問題
2015 年に起きた年金管理システムサイバー攻撃事件で浮き彫りにされた課題の一つ。一番大きな情報漏洩自体は年金システムに繋がった端末がクラッカーにハッキングされたことによって生じたことですが、漏洩したファイルの一部にパスワードを設定しておらず、そのままの状態で個人情報が漏洩したかもしれない、と言われています。この中で、パスワードの設定は内規として定められていたとのことですが、半分程度は設定を行っておらず、そのままの生情報になっていたとのことです。