個人情報の保護が大前提
ご存じのように、DX(デジタルトランスフォーメーション)とは、業務フローを単にデジタル化したり、業務をペーパーレス化、自動化したりすることを指すものではありません。ビジネスモデルそのものの変革までを視野に入れて取り組むことが望まれます。
顧客ニーズの把握から発注、物流・配送に至る過程で得られる、多くの情報やデータをいかに的確に処理し、分析するのか?――これが、DXを推進する上で大きな課題となります。特に、顧客のニーズや購買実績といった個人情報(※1)に関係するパーソナルデータ(※2)は、蓄積・加工されると同時に、支払いをはじめとするさまざまな決済手段とも紐づいています。データの保存・流通の過程における安全性の確保が最重要なのはもちろん、それを支えるシステムの安定稼働も求められます。
※1 生存する個人に関する情報であり、氏名、生年月日、住所などにより特定の個人を識別できるもの。あるいは、個人ごとに商品の購入時や書類などに付される個人識別符号を指す。
※2 個人情報に限定されない、個人の行動・状態に関するデータのこと。
かつてわたしは、警察庁において情報管理や情報セキュリティに関する業務に従事しておりました。被疑者の遺留指掌紋や足跡(足痕跡)、血液型、手口といった情報がインターネットから簡単に検索・抽出できる――テレビドラマや小説でよく見られる情景ですが、実際にはあり得ません。
特定の個人の身体に関するデータや犯罪履歴などの情報が外部に流出してしまう。そんな事態は絶対に避けなければなりません。そこで警察では、サイバー攻撃からの防御やデータにアクセスするための認証を非常に厳しいものにしています。そのためのミッションクリティカルシステム(24時間365日、稼働を要するシステム)を稼働させ、各種データベースに照会した際には、その記録をチェックするなど二重三重の厳しい対策をとっています。その上で、不正アクセスの有無を調べる監査も定期的に実施しています。
企業などの組織でも、徹底したセキュリティ対策をとらなければ、顧客情報や企業秘密が流出・漏えいしてしまった場合に社会的な信頼が失墜するという事態も生じます。DXに取り組む際にも、どのようなセキュリティ対策をとるか、よく吟味してからスタートする必要があります。“情報流出なんて他人事だと思っていた”“情報の流出や漏えい事件が発生して初めてセキュリティ対策の重要性を知った”――そういう人や組織は昔も今も多いのではないでしょうか。
組織のセキュリティ対策には「リスクマネジメント」の一面もあります。2023年7月にはNISC(内閣サイバーセキュリティセンター)から「重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書」も出されています。重要な情報を取り扱う組織や、止められないシステムを運用する企業の“サイバーセキュリティ部門”だけでなく、DXを推進する部門の方も、ぜひご一読いただきたいと思います。この中では、セキュリティ確保のための物理的対策、技術的対策と並んで組織的・人的対策についても述べられています。
DXを進める際に、システムを扱う人にもいっそう繊細な注意力を求めるようでは、業務運営は難しくならざるを得ません。例えば、現在でも多く発生している誤設定や誤送信などによる情報の流出・漏えい事故を防止するためには、人によるチェック段階を増やすのではなく、そもそも誤設定や誤送信を生じさせないシステムの構築をお願いしたいと思います。
見落としがちなセキュリティ――クラウドとネットワーク
DXを支えるプラットフォームとして、クラウドサービスの活用も進んでいます。新型コロナ感染症の感染拡大により、テレワークが急激に普及したことも、クラウド利用を後押ししました。その結果、クラウドのシステムやデータを狙ったサイバー攻撃が増加しています。さらに、プログラムや設定の不備による情報流出をはじめ、クラウドサービスが利用するデータセンターの空調システムや電源、ネットワークの障害などによる業務停止も増えています。
オンプレミスのシステムのみならず、クラウド利用時のセキュリティ、それらの間をつなぐネットワークのセキュリティにも留意が必要です。実際にサイバー攻撃や情報流出などの事件・事故が発生した際には、そのトレース――原因を追求するだけではなく、被害をいかに局所的な規模に抑え、復旧までの時間をいかに短縮できるかも重要です。
DXの推進と言うと、システム開発をはじめとするプロジェクト内での努力に傾注しがちです。もちろんそれは重要なのですが、「防御する」という視点も忘れないようにする必要があります。セキュリティ確保のための体制整備もお願いしたいと思います。
羽室英太郎(はむろ えいたろう)
一般財団法人保安通信協会 保安通信部長(元警察庁技術審議官、元奈良県警察本部長)
1958年、京都府生まれ。1983年、警察庁入庁。管区警察局や茨城・石川県警などでも勤務、旧通産省安全保障貿易管理室(戦略物資輸出審査官)、警察大学校警察通信研究センター教授などを経験。1996年に発足した警察庁コンピュータ(ハイテク)犯罪捜査支援プロジェクトや警察庁技術対策課でサイバー犯罪に関する電磁的記録解析や捜査支援などを担当。警察庁サイバーテロ対策技術室長、情報管理課長、情報技術解析課長などを歴任し、2010年12月からは政府の「情報保全に関する検討委員会」における情報保全システムに関する有識者会議の委員も務めた。2019年より現職。著書に『ハイテク犯罪捜査の基礎知識』(立花書房,2000年)、『サイバー犯罪・サイバーテロの攻撃手法と対策』(同,2007年)、『デジタル・フォレンジック概論』(共著:東京法令,2015年)、『サイバーセキュリティ入門:図解×Q&A【第2版】』(慶應義塾大学出版会,2022年)ほか。