服部弁護士の講演と弊社の今後の展開
続いては、弁護士の服部先生による「割符データ紛失はデータ漏えいになるか?」の講演でした。
冒頭、電子割符についてのみの講演となると、偏りすぎるので、情報セキュリティー全般についてのお話をします。ということではじまり、最終的には、IT業界及び関係各位にとって大きな提言をなさいました。
注:以下暗号または、暗号化という言葉に対しては、一般社会の認識に合わせるため、一見しただけで見読できない状態にする技術や、一見しただけで見読できない状態にすること、させる技術全般を指すことにします。秘密分散技術は、輸出管理等の法令で規定される暗号技術ではなく、情報の運用管理手法というのが現実的な表現ですが、秘密分散処理を行うことで、分散後のデータの見読性は失われますので、今回の服部先生の趣旨である、業界に閉じた認識ではなく、広く一般にも通用する認識との整合性を確保するため、秘密分散も暗号と同じ扱いとします。(以下の記述に関しましても、東京理科大学森田昌宏教授のご助言をいただいております。)
先生の講演要旨は、
- 当該関係業界に従事する人間と、一般社会並びに法曹界に従事する人間との情報セキュリティーに対する常識のずれを指摘しました。
- 例として、自動車を挙げ、交通事故を自動車は起こす可能性がある。しかしながら、自動車が走行することを、実社会は許している。ここから、リスクが存在するが、社会として許容している事実が多数存在することを指摘しました。
- 法的に、具体的リスクと抽象的リスクという表現で、上記例を解説。つまり、自動車が走行するということは、交通事故が発生する可能性はあるが、それを社会が許容するのは、走行しているからといって、必ずしも交通事故が発生するわけではなく、一定の確率の範囲に収まっているという背景が存在しているからだということを、解説。
- これを、昨今の情報漏洩等の問題に置き換えて話は進みました。個人情報保護法のガイドラインによれば、暗号化してあるかどうかは問わない。つまり、該当する個人情報を丸ごと暗号化してあっても、それが外部に流出した際には、個人情報漏洩とみなされてしまいます。前述の自動車の実社会の例に比べた場合、この対処の仕方というのは、果たして実運用上合理的なのか。
- 前述の個人情報の場合、解読されているかどうかさえ判らない状態で、個人情報漏洩とみなされます。このことを、自動車で考えるならば、そこに自動車が存在しているだけで、危険物扱いするようなものではないかと。監督する側から言えば、当然の考えとも言えますが。
- ここで、前述の具体的リスクと抽象的リスクの考えが重要になります。我々IT関係の人間であれば、顕在化したリスクと、潜在的なリスクと言った方が理解しやすいかもしれません。つまり、自動車が存在していることで潜在的なリスクが生じていることは、確認できますが、自動車が存在しているだけでは、リスクが顕在化した(具体化した)とは言えないのではないか。
- 情報セキュリティーに土俵を戻して考えると、暗号化した情報が外部に流出した場合であっても、リスクが顕在化するレベルにならないだけの暗号化を施していれば、潜在的リスクとして社会も認識してはどうか。というものです。
- また、既存暗号技術と秘密分散との法的見地からの比較も短い時間ですが行いました。既存暗号に関しては、いわゆる暗号鍵自体を探す作業量について、暗号鍵が短ければ、当然早くリスクが顕在化するだろう。しかし、秘密分散の場合は、最小の分散数である2分割の場合でも相当大きな鍵とみなすことができる。また、暗号化データと暗号鍵を一緒に盗まれるような管理の仕方は、論外と、おっしゃいました。
- 具体的リスクと抽象的リスクに関して、解読に費やす費用で考えることも会場で少しだけ意見交換がありました。1000億円の価値のある電子データが暗号化されていることを知った場合、その暗号技術を作り出した会社を1000億円以下で買収してしまえば、合法的に解読できる技術が入手できるだろう。と先生のご意見がありました。各社の技術開発のポリシーにもよりますが、いわゆるバックドアを意識的に作成している場合などは、該当するかもしれません。
GFI電子割符の場合、そのような設計思想は、開発者自身も危険に晒される可能性があることと、そのような手法が存在するよう設計すること自体が、技術の信頼性を損ねる結果となると判断し、設計ポリシーから排除してきました。
そもそも、学術的な秘密分散法の世界では、原本データ長も分散データ長(シェアの大きさ)も、分散データの数(シェアの数)も未知であり、理想的な分散処理の結果、そのシェアからは、原本情報を一切類推できないことと、解読を試みる者が復元可能なだけの分散データ(シェア)を持っていないことが前提ですが、机上の理論ではなく、現実に有限なリソースしかないIT環境で利用できる道具として活用する際には、分割数などは、類推の可能性があります。この場合、いわゆる秘密分散法に相当する機能を有していても、完全に秘密分散法とは言えませんから、秘密分散法と言い切るのではなく、秘密分散技術または、秘密分散法の特殊な場合、などとというのが正しいでしょう。
ITの世界に属する我々からすると、既存暗号技術に比べて、その鍵長が固定されているわけでもなく、また、その長さが十分長いことから、前述の顕在化したリスクにならないと考えられるのが、当社電子割符の属する秘密分散技術の良いところでもあります。
因みに我々ITの世界では、暗号については、計算量的な安全性を判断の尺度とすることが、いわゆるグローバルスタンダードです。純粋な数学の世界では、完全秘匿が可能な世界も存在しますが、これを、一般社会に流通させてよいテクノロジーと判断できるかは、別な議論が必要だからです。よって、今回の服部先生の重大な提言に関して我々IT業界に従事し、且つ、情報社会の今後を真剣に考える立場にあるものは、業界等の一部のコンセンサスが得られる考え方ではなく、広く一般社会からも理解される情報セキュリティーの指針を出すことをしなければならないと考えます。
例えば、会場からのご意見で、個人情報は、当人が死亡してしまうと、いわゆるプライバシーの問題が残りますが、個人情報の範疇から外れます。そうなれば、個人が生存している期間、解読されないような暗号化を施しておくのが、現実解と考えることもできるのではないか。といった発言もありました。実社会に存在する多くの情報に対し、適切な暗号化の強度を示し、それに対応する技術や道具を公表していく。そんな活動を我々は、する時期に来ていると考えます。
通常の暗号技術の場合、大抵3年程度で暗号の寿命が訪れます。そうなると、人間の一生に対して短すぎることになります。ですので、その暗号鍵の寿命前に鍵を更新していくことになります。しかしながら、秘密分散技術では、解読に要する時間が遥かに長く見込まれますので、頻繁な更新など必要ないと考えることができます。しかも、復元した際には、基本的に原本に戻るという性質も非常に重要です。こういった部分も、明確に認知していっていただければと考えます。
今後、秘密分散技術が、高度な情報秘匿や、原本証明、認証等に応用され、普及していく際に、重要な事項として
- 適切な外部評価
- 対象技術の安定性・信頼性の裏づけとなる絶対的導入数と技術提供開始からの経過時間の長さ
- 対象技術の知的財産の安全性
といったことは、非常に重要なファクターになるでしょう。
当社は、業界で最初に秘密分散技術である電子割符を市場にリリース(1999年〜)し、今日まで、重要情報の分散管理の合理性、必要性を訴えてきました。今回の電子割符テクノロジーフォーラムにおいて、服部先生からいただいた重大な提言に関して、当テクノロジーフォーラムは、業界及び関係各位の参加を呼びかけ、一般社会も含めた、情報セキュリティーのコンセンサスを形成していく活動を行い、その成果として、情報毎の潜在リスクと顕在リスクの境界線(秘匿処理のレベル)を発表していきたいと考えております。この活動は、当社が理事会員となっているECOMにおいても検討を促し、日本のみならず、世界でも画期的な成果になるよう準備したいと考えております。
尚、当社セミナーの翌日(2006、12,14)、経済産業省にて、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正案に対する意見公募についてが、始まりました。我々の問題意識は、まさに時代の本流と言えます。
今後の情報化社会の健全性を真剣に考える皆様と、上記活動を行っていきたいと考えておりますので、今後も当社活動に対するご理解と、ご協力のほど、よろしくお願いします。
2006、12、15
グローバルフレンドシップ株式会社
代表取締役社長 保倉 豊
(ECOMセキュリティー懇話会 座長)
参考
個人情報の保護に関する法律(平成一五年五月三十日法律第五十七号)
最終改正:平成十五年七月十六日法律第百十九号
第一章 総則
- (定義)
- 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
2 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。 一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの 二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの 略 4 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。 - 略
- 第三条 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。
とある。
つまり、個人情報保護法における個人情報の定義項の中に、
当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。
と記述のあることが、重要で、対象の個人情報を少なくとも2つ以上に割符処理し、個々の割符データから個人が特定できないよう処理をし、且つ、それぞれを異なる管理権限下で管理したとすると、それは、定義項の内容からはずれることとなると考えられ、秘密分散技術は、前述の暗号の議論に深く連携させずに、一種の情報運用管理手法としても検討することもできる。2、のデータベースの記述も留意すべき事項であるが、何より第三条が大事で、実はここにも割符の可能性は秘められているのです。