（idea 2022年8月号掲載）※掲載当時と現在では情報が変わっている可能性があります。

※お願い※

記事内の写真や資料は、当情報誌での使用について許可をいただいて掲載しております。

無断での転載などの二次利用はご遠慮ください。　

ＩＳＭＳ審査員補の那須浩修さん

　ＩＳＭＳ(情報セキュリティマネジメントシステム)審査員補。大学卒業後、複数の大手企業にて情報セキュリティ等に関するシステムエンジニアとして従事。令和元年に早期退職すると、同年６月から令和４年５月末まで「地域おこし協力隊」として地元一関市に着任。岩手県商工会連合会の「エキスパートバンク」に情報セキュリティの専門家としても登録、活動中。昭和39年生、一関市大東町出身(在住)。

対談者　那須　浩修さん 　　

聞き手　いちのせき市民活動センター  センター長　小野寺浩樹　

総務省の令和３年度版「情報通信白書」によると、スマートフォンの世帯保有率は８割を超えます(令和２年)。また、コロナ禍でテレワークやオンライン授業など、社会生活の「ＩＴ化※1」も急速に進みました。「ＩＴ」を介した「情報」が溢れる昨今、私たちは「情報」を正しく取り扱えているのでしょうか？「情報セキュリティ」の専門家とともに考えます。

※１　ＩＴ＝「Information Technology」の略称。パソコンやスマートフォンなどのコンピューターネットワークを使った情報技術の総称で、情報を入手し、保存・伝達するための科学技術。

(２回シリーズの前編)

小野寺　地域で話をしていると、自治会役員さんたちの「個人情報の壁」に関する悩みをよく聞きます。何か住民に聞きたいことがあっても「個人情報だから教えられません」と言われるようですが、そこに違和感を感じるんですよね。

那須　個人情報保護法を誤解している人は多いよね。あれは「個人情報を教えない権利」ではないわけで(笑)個人情報を取り扱う際のルールを作り、それをきちんと説明し、相手の納得を得た上で個人情報を取得しましょうという内容。目的外に使わないことや、しっかりと保管することを約束し、実行しましょうという話です。

小野寺　そう、見落とされがちなのが「個人情報の活用」という観点も入っていること。「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」と書いてますから。要は豊かな国民生活の実現には個人情報の活用が必要であり、個人の権利に配慮しながら適切に活用しましょう、ということですよね。

那須　個人情報は「資産」とも言える。同じ資産でも、お金は銀行で、不動産や土地・建物は登記簿で管理できるのに対し、個人情報には管理母体がないんです。だからルールを決めなきゃいけない。資産だから、価値があるから、個人情報が「売れる」わけです。

小野寺　例えばコロナ禍になって、市民センターなどでも、来館者名簿等を作っていたりします。あれだって名前や電話番号が丸出しのままっていうのはマズイということですよね。

那須　まさにルールがないからですよね。紙の情報、自分で聞いて得た情報、集めた情報、そういうのを野放しにするのではなくて、「『これはここに保管する』『これはこう扱う』というルールを決めましょう」というのが「情報セキュリティ」です。情報セキュリティにも規格があり、世界基準がISO27001※2(ISMS) 。

※２　機密情報や個人情報の漏洩、ネットワーク犯罪を防ぐための国際標準規格で、組織全体で「情報」と「リスク」を管理し、「情報」を効率的に利用できるようにするための仕組み。

小野寺　確かに、我々ＮＰＯ業界でも20年位前に「ＩＳＯ(＝世界基準)を意識しなければいけない」と言われました。情報セキュリティにも世界基準の規格があるんですね。

那須　情報セキュリティには「機密性」「完全性」「可用性」という３要素があります。機密性は「正当な権限を持つ限られた者のみが、情報や資産にアクセスすることができ、適切に保護、管理されている」こと、完全性は「情報を改ざんされないようにして情報に信用度を持たせてください」ということ、可用性は「(上記２つを担保した上で)情報をいつでも安全に利用できる状態を確保してください」ということ。

小野寺　企業に関する話と思われがちですけど、ＮＰＯや地域組織、自治会レベルでも意識しなければいけない考え方ですね。

那須　最近多いのが「個人情報などの管理はセキュリティ対策がバッチリのサーバーに入れてあるから大丈夫」という感覚で、これはナンセンスな考え方。「じゃあ、元データの管理ルールはあるの？」「情報の機密性、完全性、可用性を担保する、管理ルールはあるの？」「そのルールは実行可能？実際に実行されているの？」という話。

小野寺　そうですよね、結局は情報を漏らすも使うも「人間」なんですよね。外部へのセキュリティだけでは意味がない。

那須　情報セキュリティ事故で最も多い原因は人由来。うっかりコピーしてしまった、聞かれたからしゃべってしまった、ついつい持ちだしてしまった、など。ルールがあるようでないからなんです。書類にマル秘のハンコを押したりするけど、そこにちゃんとルールや基準はありますか？っていうこと。

小野寺　「ハンコを押せばＯＫ」という感覚であれば、全く話が違いますね。マル秘のハンコが押された書類の写真をこっそり撮ってしまえばそれまでですからね(笑)

那須　ＩＴが普及し、情報を扱うルールが脆弱になってしまって、「この情報って本当にちゃんと管理されてるの？」という疑いをかけられたＳＮＳサービスもありますよね。ＳＮＳは個人情報の塊ですから、悪用というよりも、世界規模の巨大なデータとして、マーケティングに利用されていることは確か。

小野寺　大手検索サイトなんかもそうですよね。履歴がデータとして抜かれているというか。

那須　とは言え、こうしたサービスが世界で通用してしまっている以上、そういうものであることを理解した上で、気を付けて使っていくしかないんです。それが「情報リテラシー」。

小野寺　拒否するのではなく、理解した上でトレンドにもついていくことが大事ということ？

那須　そう、拒否するのではなく、受け入れるための判断をする能力をつけてください、ということですかね。大事なのは、情報には「価値」と「権利」があるということ。ビッグデータ※3として利用されることには逆らえないけど、一人のユーザーとして情報の取り扱いは意識して気をつけなければいけない。

※３　ここでは「事業に役立つ知見を導出するためのデータ」を指す。

小野寺　ＳＮＳを見ていると、「掲載するのに許可取ったのか？」と心配になるような画像をつけていたり、他人の投稿を勝手にアレンジして自分の投稿のようにしているものも目につきます。

那須　よくあるのが新聞記事を写真に撮って掲載した投稿。あれは完全にＮＧですからね(笑)

小野寺　あとは「自分に入ってくる情報が全て正しい情報」だと思っている人も多い。その情報は果たして正しいのかどうか、疑って考えることも必要。

那須  それが「情報リテラシー」の根幹であり、現代の大きな課題なんですよね。

〈後編はこちらから〉

 那須浩修(情報セキュリティに関する相談等)

電話　080-5012-9760