個人情報保護とデジタルフォレンジックス

わが国でも、個人情報保護のための体制の構築の重要性がきわめて強調されているのは、いうまでもありません。

一度、そのような情報漏洩事件が発生した場合には、いわゆるフォレンジックの出番ということになります。

インシデントレスポンスという観点から、証拠を保全・収集・分析し、情報漏洩の原因を突き止め、だれが、いつの段階で、どのようにして情報の漏洩を図ったのかというのを追跡し、その上で、それを確定する証拠を把握し、しかるべき機関に協力を求め、そのような事件についての断固たる対応をしなければなりません。

どのような情報をもとに捜査機関に協力を求めるのか、あるべき協力の姿は、どのようなものかということも検討されなければならないことになります。

我が国では、会計事務所などで、公認会計士に加え、第一線の犯罪捜査やコンピュータ犯罪捜査の経験を豊富に有する専門家により、このような原因究明のための迅速かつ最高水準のサービスを提供するようにもなってきています。

漏洩時に、原因究明のためを十分になしうる能力があるというのは、内部からの脅威による漏洩に対して抑止力として働くことになり、また、今後の再発防止のためのきわめて重要な要素となるということがいえるでしょう。

漏洩事件が起きた場合には、マスコミにはどのように対応するべきなのか、さらに、個人情報の主体である本人に、どのようにいつ伝えるべきかという問題も考えなければならない。これらもフォレンジックという観点から議論されるべき論点ということになるでしょう。

なお、情報漏洩事件に対する具体的な対応という観点については、情報処理推進機構「情報漏えいインシデント対応方策に関する調査報告書」( 委託先カーネギーメロン大学日本校)が非常に参考になるということができるでしょう。私がいうのもなんですが、この報告書は、きわめてレベルが高いものです。その上に、当時のこの問題に対する我が国のエキスパートが集まって作成したものということができます。

この報告書は、その当時、2006年当時、社会問題化していたwinnyネットワークにおける情報漏えい問題に対して、どのように対応するべきか、ということから、作成されたものです。

2014年にも大規模な情報漏えい事件が社会を騒がしました。そのような情報漏えいに直面した場合には、上の報告書を参照すると、問題を解決するヒントになることも多いかと思います。

企業等において内部からの情報漏洩を防止するために、従業員等のコンピュータ上での活動を電子的に監視するシステムが盛んに売り出されています。

技術的には、企業内で収集・保管されている個人情報に対して、その処理に関して、どのような監視システムを利用することが合理的であるのかという問題があるでしょう。また、法律的には、職場における従業員のプライバシの合理的な期待というのは、保護されるべきなのか、もし、そのような電子的な監視が許されるのであれば、そのための法的な要件は何かといった問題もあります。これらの問題については、また、別の投稿で論じることにしましょう。