高瀬里見個人情報の守り方、法律から証明マークまで一緒に学ぼう!
📖 用語まとめ表
頑張って一緒に覚えていきましょう!今回は個人情報を守るための「法律・ルール・仕組み」が主役です。試験頻出の用語がたっぷり登場します。
| 用語(略語) | 読み方 | 一言説明 | 身近な例え |
|---|---|---|---|
| 個人情報保護法 | こじんじょうほうほごほう | 個人情報の取り扱いを定めた日本の法律 | お店が「住所や電話番号を勝手に売っちゃダメ」と決めたルール |
| GDPR | ジーディーピーアール | General Data Protection Regulation(EU一般データ保護規則)。EUの個人情報保護規則 | EU版の個人情報保護法。破ったら最大で売上高4%の罰金 |
| プライバシーマーク(Pマーク) | ぷらいばしーまーく | 個人情報を適切に扱う企業に与えられる認証マーク | 「このお店は安全です」という食品の安全マークのようなもの |
| 要配慮個人情報 | ようはいりょこじんじょうほう | 差別や偏見につながりやすい特に慎重に扱うべき個人情報 | 病歴・障がい・犯罪歴など。知られるだけで傷つく可能性がある情報 |
| 匿名加工情報 | とくめいかこうじょうほう | 個人を特定できないよう加工した情報 | 「28歳・女性・東京在住」のように名前を消したデータ |
| オプトイン | おぷといん | 本人が「使っていいよ」と許可してから利用する方式 | 「メルマガを受け取る」のチェックボックスを自分でONにする |
| オプトアウト | おぷとあうと | 本人が「使わないで」と言うまで利用できる方式 | 「メルマガを止めたい場合はこちら」という退会リンク |
| OECD 8原則 | オーイーシーディー はちげんそく | Organisation for Economic Co-operation and Development(経済協力開発機構)が定めた世界共通の個人情報保護の基本ルール8つ | 個人情報を守るための「世界の約束ごと」 |
| JIS Q 15001 | ジスキュー いちごまるまるいち | 個人情報保護マネジメントシステムの日本規格 | プライバシーマーク取得のための「日本版ルールブック」 |
| PMS | ピーエムエス | Privacy Management System(プライバシーマネジメントシステム)。個人情報保護の管理体制 | JIS Q 15001に基づく管理の仕組み全体 |
🔍 結城の偵察
結城美雪10万人の個人情報…これを使えば全部終わらせられる。
深夜1時。結城は暗い部屋でノートPCのキーボードを叩き続けていた。
画面に映るのは、メタ・クローディア(Meta Claudia)ーー通称メタCのユーザーデータベースに関する公開情報の断片たち。プラットフォームの利用規約、プライバシーポリシー、過去のプレスリリース。結城は一文一文を丁寧に読み込んでいた。
「……登録ユーザー10万人超、か」
ぼそりとつぶやいて、コーヒーカップを手に取る。冷めていた。
メタCが取り扱う個人情報には、ユーザーの氏名・メールアドレス・生年月日・決済情報が含まれる。しかも、ヘルスケア連動型のアバター機能を最近リリースしたことで、一部の利用者は身体情報まで登録しているはずだ。
「要配慮個人情報……個人情報保護法でも特別扱いの情報ね」
結城の指が止まる。
もし、このデータが外に漏れたら。
(慎也が大切に思っているメタCが崩れていく。それを見ていれば……)
里見の顔が頭に浮かんだ。年収750万のセキュリティエンジニア。慎也の隣に立つ彼女。
「まだ準備が必要。急がない。でも、必ずやる」
結城はノートを開き、静かに偵察の記録を書き始めた。
💬 慎也と里見の会話①
山本慎也個人情報ってそんなに種類があるの……?
週末の昼下がり、慎也のアパートのリビング。里見がソファでノートPCを開きながら作業している横で、慎也がメタCの開発作業をしていた。
「ねえ里見、ちょっと聞いていい?」
「なに?」
「メタCのユーザー登録フォームを直してるんだけど……生年月日って必須項目にすべき? いまは任意なんだよね」
里見が顔を上げた。
「必要な理由は?」
「年齢制限のチェックのためかな。未成年には一部のコンテンツを見せたくないから」
「それなら、生年月日じゃなくて”18歳以上かどうか”だけ聞けばいいんじゃない? 個人情報って、集めれば集めるほどリスクも増えるんだよ」
「え、そうなの。多い方が安心かと思ってた」
里見がノートPCを閉じて、慎也の方を向く。
「個人情報の扱いって、法律もあるし結構奥が深いよ。知りたい?」
「教えて」
📘 里見の解説「個人情報という宝物——守るための法律と仕組み」
高瀬里見個人情報は「集めること」より「守ること」が大事なんだよ。
慎也がノートを広げる。里見は立ち上がってコーヒーを淹れ直しながら話し始めた。
個人情報保護法
高瀬里見まず日本の基本ルールから行こう。
「日本には個人情報保護法(こじんじょうほうほごほう)っていう法律があって、個人情報を扱う事業者が守るべきことを決めているの」
「どんなことが決まってるの?」
大きく言うと3つ。
①収集するときは目的を明示する
②集めた目的以外には使わない
③漏らさないようにちゃんと管理する。
破ったら罰則もあるよ
「じゃあメタCも守らないといけないの?
「当然。ユーザーが5,000人を超えていたら対象になるし、メタCはとっくに超えてる。最近の改正で、個人情報が漏れたときは本人への通知と個人情報保護委員会への報告も義務になったよ」
GDPR
山本慎也GDPRって聞いたことある。ヨーロッパの法律?
「そう。GDPR(ジーディーピーアール)は General Data Protection Regulation(ジェネラル データ プロテクション レギュレーション)——EU一般データ保護規則のこと。2018年にEUで施行されたの」
「日本の法律と何が違うの?」
「罰則の規模が全然違う。違反したら最大で”全世界の年間売上高の4%”か2,000万ユーロのどちらか高い方。億単位の罰金になることもある。あと、EUに住む人のデータを扱うなら、日本の企業でも適用されるのが特徴よ」
「え、日本の会社でも?」
「日本の会社でもGDPRが適用される場合はあるけど、単にEUのユーザーがいるだけじゃなくて、EUに拠点(支社・子会社)を持っている場合や、EUの居住者に対して意図的にサービスを提供している場合が対象になるの。メタCが日本国内だけでサービスしているなら、今はまだ直接の対象外かもしれない。ただ、将来グローバル展開するなら無視できない規則だよ」
要配慮個人情報
高瀬里見「普通の個人情報」と「特に大事な個人情報」があるんだよ。
「個人情報の中でも、特に慎重に扱わないといけない情報を要配慮個人情報(ようはいりょこじんじょうほう)っていうの」
「どんなもの?」
「病歴、障がいの有無、犯罪歴、人種、信条、社会的身分……知られるだけで差別や偏見につながりやすいものね。メタCが身体情報と連携するアバター機能を作ったでしょ? あれに健康データが含まれていたら要配慮に当たる可能性がある」
「それって普通の個人情報と何が違うの?」
「取得するときに、原則として本人の明示的な同意が必要になるの。黙って集めていいものじゃない」
匿名加工情報
山本慎也匿名にすれば自由に使っていいってこと?
「個人を特定できないように加工した情報を匿名加工情報(とくめいかこうじょうほう)っていうよ。名前・住所・電話番号を削除したり、生年月日を年代だけにしたりして、誰のデータか分からなくするの」
「それって企業にとってうれしいの?」
「うん。匿名加工情報にすれば、本人の同意なしにデータを第三者に提供したり、研究や分析に使えたりする場面が増えるの。ただし、加工が不十分だと再識別できちゃうこともあるから、注意が必要ね」
「なるほど、匿名にすれば何でもありじゃないってことか」
「そういうこと。ちゃんとルール通りに加工して、提供先も公表する義務があるよ」
オプトインとオプトアウト
高瀬里見メルマガとかで見るあの「同意」の仕組みのことだよ。
「個人情報の利用同意の取り方にはオプトインとオプトアウトの2種類があるよ」
「どう違うの?」
「オプトインは、最初は”利用しない”状態から始まって、本人が『使っていいよ』と積極的に許可してから使う方式。オプトアウトは逆で、最初は”利用する”状態から始まって、本人が『やめて』と言ったら止める方式」
「どっちが本人にとって安心?」
「オプトインの方が安心。本人の意思が明確だから。要配慮個人情報はオプトインが原則よ。」
「オプトアウトは利用者に気づかれないまま情報が使われるリスクがある」
慎也は「あ、あの最初からチェックが入ってる同意ボックスって最悪なやつだ」と呟いてメモした。
OECD 8原則
高瀬里見世界の個人情報保護のベースになった8つの約束事だよ。
「個人情報保護の考え方の大元になったのがOECD 8原則(オーイーシーディー はちげんそく)。OECDは Organisation for Economic Co-operation and Development(オーガナイゼーション フォー エコノミック コーオペレーション アンド ディベロップメント)——経済協力開発機構(けいざいきょうりょくかいはつきこう)という先進国の国際組織で、1980年に個人情報を守るための基本ルールを定めたの」
「8つって覚えられるかな……」
「試験では全部覚えておきたいけど、まず流れで押さえよう」と里見がホワイトボード代わりのメモ帳に書き始める。
①収集制限の原則——必要最小限だけ集める
②データ内容の原則——正確で最新の状態に保つ
③目的明確化の原則——何のために集めるか明確にする
④利用制限の原則——目的外には使わない
⑤安全保護の原則——ちゃんとセキュリティ対策をする
⑥公開の原則——誰が何を管理しているか公開する
⑦個人参加の原則——本人が自分のデータを確認・訂正できる
⑧責任の原則——管理者が責任を持つ
「さっき慎也が言ってた『生年月日を必須にするかどうか』も、①の収集制限に関係してるんだよ」
「あー、本当だ。年齢確認に必要な最小限の情報を集める、ってことか」
JIS Q 15001とPMS
山本慎也ISMSとどう違うの?
「JIS Q 15001(ジスキュー いちごまるまるいち)は、個人情報保護のための日本の規格。これを満たすことでプライバシーマーク(Pマーク)が取得できる」
「ISMSとの違いは?」
「ISMSは情報全般を守る仕組みで、JIS Q 15001は個人情報だけに特化してる。守備範囲が違うイメージね。そして、この規格に基づいた管理体制のことをPMS(ピーエムエス)——Privacy Management System(プライバシーマネジメントシステム)って言うよ」
「Pマークってよくサイトの下の方に貼ってあるやつだ」
「そう。あれは『この会社は個人情報を適切に管理してますよ』という第三者認証のしるし。2年ごとに更新審査があるから、取ったら終わりじゃなくて継続して管理する必要があるの」
⚡ 攻撃の影
佐藤隆外部公開APIのキーが使い回されてる。設計ミスを突かれた。
翌週月曜日。メタCのセキュリティ監視ルームで、佐藤が一人ログを眺めていた。
引っかかったのは、外部公開しているコンテンツ取得用のAPIだった。メタCではワールドのサムネイルや公開プロフィールを外部サービスと連携するため、一部のAPIをAPIキー認証付きで外部公開していた。
問題は、そのAPIキーの設計にあった。
「……8文字、英数字のみか」
佐藤が眉をひそめる。短く単純なAPIキーは、総当たり攻撃(ブルートフォース)で試されるリスクがある。さらに悪いことに、開発者向けドキュメントのサンプルコードに、テスト用のAPIキーがそのまま記載されていた。本来は無効化されているはずのキーが、実は有効なままになっていた。
「サンプルキーが生きてる。これを使われたら——」
そのキーで呼び出せるAPIは公開情報の取得のみのはずだった。しかし、アクセスログを辿ると、レスポンスに含まれるユーザーIDを手がかりに、認証済みユーザー向けの別エンドポイントへの不正アクセスを試みた形跡がある。内部の個人情報APIは当然非公開だが、入り口の設計が甘ければ足がかりにされる。
侵入ではなく、足がかりの確認。
「里見に連絡しておくか」
🛡️ チームの対応
佐藤隆APIキーを即時無効化。設計から見直す。
佐藤から連絡を受けた里見が、慎也のアパートから急いでメタCのオフィスに向かった。
「まずサンプルキーを即時無効化。それから全APIキーをローテーションする」と里見がすぐに手を動かす。
「APIキー自体の設計も変える必要がある」と佐藤が続ける。「8文字じゃ短すぎる。最低でも32文字以上、英数字+記号を混在させて、総当たりが現実的に不可能な長さにする」
「あと、外部公開APIと内部APIの分離を徹底しよう」と里見が付け加える。「外部向けはコンテンツ取得の最小限のみ。ユーザーIDすらレスポンスに含めない。内部の個人情報APIはそもそも外部ネットワークからは到達できない構成にする」
さらに、APIキーごとにアクセスできるリソースと操作を制限するスコープ設計を導入することにした。たとえ一つのキーが漏れても、被害範囲を最小限に抑えるためだ。
慎也はメタCの社員ではないが、里見経由で経緯を聞いていた。
「さっき学んだOECD 8原則の⑤安全保護と、収集制限の考え方がそのままAPIの設計にも当てはまるんだな」
里見が振り返ってうっすら笑った。「理解が早い」
個人情報の保護は法律を守るだけじゃない。APIの設計一つひとつに落とし込んで初めて機能する——慎也はそれを実感した。
対応が完了した頃には夜になっていた。不審なアクセスはその後ぴたりと止まった。
💬 慎也と里見の会話②
高瀬里見個人情報って、集めるより守る方が何倍も難しいんだよ。
帰り道、二人は並んで夜道を歩いていた。
「今日、改めて思ったんだけど」と慎也が口を開く。「ユーザーの個人情報って、俺たちが預かってるだけで、本当の持ち主は本人なんだよな」
「そういうこと」と里見が答える。「だから個人情報保護法にも”個人参加の原則”がある。本人が自分のデータを確認して、間違いがあれば直してもらえる権利。プラットフォームはあくまで預かり場所に過ぎない」
「Pマーク取ったら終わりじゃなくて、継続して守り続けなきゃいけないのも、そういう責任があるからか」
「うん。PMSってPDCAを回し続ける仕組みだからね。認証を取ることより、取り続けることの方が本当の価値だと思う」
慎也が少し考えてから、「メタCのフォーム、生年月日は任意のままにする。年齢確認に必要な最小限に留める。それがOECD 8原則の収集制限だから」と言った。
里見がちいさく笑った。「完璧」
😤 結城の悔しがり
結城美雪また遮られた。でも私はまだ諦めていない。
結城は帰宅して、真っ先にモニターを確認した。
設定しておいたアクセスパターンが全てブロックされていた。APIエンドポイントの命名が変わり、レート制限が強化されている。探索しようとするたびに壁が増えている。
「……やっぱり佐藤か」
舌打ちをして、椅子の背もたれに体を預ける。
悔しい。でもそれ以上に、確かな手応えがあった。メタCは個人情報DBを本気で守りにきている。つまり——そこに本当に価値のある情報がある証拠でもある。
(里見が動いた、のかも)
里見のことを考えると、ただ悔しいより複雑な感情が浮かぶ。技術的な判断は正しい。セキュリティエンジニアとして実力があるのは認める。だから余計に——。
「今回は下見で終わった。でも次は違う入口を探す」
結城はノートに新しい図を描き始めた。個人情報DBに至るまでの経路。技術的な突破口ではなく、人間側の隙。
人を通じたアプローチ。ソーシャルエンジニアリング。
「まだ終わってない」
コメント