マイナンバートップ> マイ・オピニオン> クラウドの危険性

【マイ・オピニオン】 
クラウドの危険性~電子データは必ず守られるということはない

マイナンバー法第12条
VectorOpenStock

スマートフォンやタブレットの普及によって、よく耳にするようになった「クラウド」という言葉。

「クラウド」とは「cloud=雲」の意味で、データをパソコンやサーバーではなく、インターネット上に保存する使い方、またソフトウェアなどをインターネット経由でサーバーに処理してもらうサービスのことを言う。インターネット環境さえあれば、必要なときに必要なだけ利用できるという考え方である。

身近な例でいえば、「Dropbox(ドロップボックス)」やマイクロソフト社の「OneDrive」などのストレージサービス、GmailなどのWebメールもクラウドサービスのひとつだ。こうしたサービスをプライベートで活用されている人も多いかもしれない。

仕事上では、たとえば営業管理にクラウドを使って、顧客の前でデータを引き出してその場で顧客にあった提案をするといった活用をしている企業もあるだろう。

クラウドに預けるほうがセキュリティー性も高く、安全で効率的な運用・管理ができるという意見がある一方で、「セキュリティーが怖くて預けられない」という否定的な意見もある。

マイナンバーもまた、クラウドに預けるという動きが加速している。自社でマイナンバーを保管するには漏えいのリスクが高く、厳しい安全管理措置に対応しなければならないからだ。

クラウドを使う・使わないは各自各社の判断になるが、はたして「クラウド」というのは、ほんとうに安全なのだろうか。

情報漏えいリスクに高い関心

東京商工リサーチが全国の企業を対象に行った調査「マイナンバー法のスタートに関するアンケート」(2015年8月)によると、マイナンバー制度の最大のデメリットとして「情報漏えいリスク」をあげており、その数は過半数を超えていた。(大企業52.4%、中小企業等53.5%)

また、マイナンバー制度への対応で最大の関心事は、「情報漏えいセキュリティー体制強化」などの管理面への回答が50.9%と半数を占めた。
一方で、「情報はパソコンに残さず紙に印刷したうえで金庫に保管する」手法で情報漏えいに備えようとする回答もあった。(アンケートの詳細はこちら

マイナンバー法のスタートに関するアンケート

これほど関心の高い“情報漏えいリスク”だが、それはクラウドに預ければ安全だ、リスクを回避できる、とはならないはずだ。

総務省でも「クラウドサービス利用上の注意点」をホームページで以下のように喚起しているほどだ。

「クラウドサービス上のデータは、クラウドサービス事業者により安全に管理されることが基本ですが、実際には、障害によるデータの消失や情報漏洩(ろうえい)などの事例も発生しています。クラウドサービスを過度に信頼するのではなく、利用する場合には、想定される脅威に対応した対策を取ることが重要です」

ファイヤーウォールも安全ではない

データセンター

いつでもどこでもデータにアクセスできる利便性を第一に考えられた発想――それがクラウドだ。しかし、某ネット企業の幹部は、北見昌朗に言った。

「マイナンバーの管理をクラウドでなんて、有り得ない。考慮の対象外」
「ファイヤーウォールも安全ではない。侵入しようと思えば可能」

これは何を意味するのか。

日本年金機構の年金データが漏洩した事件は、「どんなにセキュリティーを講じても突破される」という大きな教訓を残した。実際にサイバーテロなどの事例を見ても、コンピューターへのハッキングは国の機関でさえ防ぎきれない。企業がどんなに情報セキュリティーに努めていても、突破される可能性がある。完璧な防止策はない。

だから、社内の情報システムの中で保管するのは止めたほうがよい。セキュリティーは突破されることを前提にした対策が現実的である。いったん突破されてしまったら、恐ろしい結果を招く。

バックアップ体制は? 保障は? クラウド事業者の事前チェックが必要

2012年に起きたヤフー子会社のデータ消失事件(※)では、サーバー事業者がバックアップしていたデータまで失っている。

※データ消失事件
2012年6月20日、ファーストサーバ社(本社:大阪市)がクラウドのデータをバックアップデータも含めて消失させた事故。原因はセキュリティー対策のために行われたシステムの更新作業。顧客約5万件の1割に相当する約5700件が被害にあった。Webコンテンツや電子メール、顧客情報や取引先への訪問予定などのさまざまなデータが復旧不可能となった。低価格の料金で提供していたため、外部でバックアップをとっていなかった。

事業者は賠償について、「サービス利用契約約款に基づいて、お客様にサービスの対価としてお支払いただいた総額を限度額として、損害賠償させていただきます」と説明。自社サイトにアクセスできないことなどで発生した機会損失については、「損害賠償の対象とさせていただく予定はございません」としている。

このデータ消失事件はレアケースであって、すべてのクラウド事業者にあり得る話ではない、とも言われている。通常、クラウドはシステムを稼働させ続けるために“冗長化”といって何重にもバックアップをとっている。だが、この事故で事業者は冗長化はしていても、外部にバックアップをとっていなかった。

自社にマイナンバーを残さないようにするにはどうすべきか。クラウドを利用し、そのうえでリスクを回避するためにバックアップとして自社でも保管するのでは、クラウドを使う意味がない。

クラウド事業者に「おたくは安全か」と聞いたところで、「はい安全です」という答えしか返ってこないのは明らか。「セキュリティーはきちんとやってくれるだろう」と信頼しきっていては、痛い目にあいかねないのだ。

クラウドを使うのであれば、クラウド事業者のバックアップ体制はどうなっているのか、保障はどうなっているのか…自分の目で見て確かめるしかない。契約しようとしている事業者の約款も含めてチェックし、しっかりと調査する必要がある。

マイナンバーをデータで保管すれば、このような特大の危険にさらされることもある。外部と接続した状態では情報は守れないと、北見昌朗は考える。

「マイ・オピニオン」トップに戻る