本連載では、圓窓代表・澤円氏が、エンジニアとして“楽しい未来”を築いていくための秘訣をTech分野のニュースとともにお届けしていきます
データ氾濫時代、サイバー攻撃から大事な情報を守るためにすべきこと【連載:澤円】
圓窓代表
澤 円(@madoka510)
立教大学経済学部卒。生命保険のIT子会社勤務を経て、1997年、外資系大手テクノロジー企業に転職、現在に至る。プレゼンテーションに関する講演多数。琉球大学客員教授。数多くのベンチャー企業の顧問を務める。
著書:『外資系エリートのシンプルな伝え方』(中経出版)/『伝説マネジャーの 世界№1プレゼン術』(ダイヤモンド社)/『あたりまえを疑え。―自己実現できる働き方のヒントー』(セブン&アイ出版)※11月末発売予定
Voicyアカウント:澤円の深夜の福音ラジオ メルマガ:澤円の「自分バージョンアップ術」 オンラインサロン:自分コンテンツ化 プロジェクトルーム
皆さんこんにちは、澤です。
近年生まれてかつ重要度が増す職業の代表格、と言えば「データサイエンティスト」や「データアナリスト」ですね。それくらい、データそのものへの注目度が増してきているのは間違いなさそうです。
ということで、今回はデータをテーマにしてみましょう。なお、ここでいう「データ」は基本的にデジタルデータのことを指します。
人類はすでにデータを信じる生き物へと進化している
私がプレゼンのときの冒頭によく使うネタとして、以下の二つがあります。
「人類がこれまで生み出したデータのうち、90%は直近2年で生まれた」
「世の中のお金のうち93%はデータの形でオンライン上に存在する」
一つ目は、アメリカの教育プログラム動画で有名な「Did you know」から、二つ目はFS-ISAC(金融サービス情報共有および分析センター)から拝借した情報です。
現代はあらゆるものがデータ化されており、お金も含めたビジネスエコシステムがデータを中心に回っています。われわれの生活もすっかりデータ中心になっていますよね。例えば、オンラインで買い物をするということは、自分の欲しいものを数多くのデータの中からキーワードで絞り込み、最終的に一つのデータを選び、そのデータを購入することと引き換えにモノが届く、という仕組みで成り立っています。
つまり極端な言い方をすれば、買っているのはデータでありモノではないのです。ただ、「データを買ってくれれば確実にモノを届けますよ」という契約なわけですね。
また、私たちは新しいレストランが目に入ると、いきなり飛び込んだりはせずに食べログなどをチェックします。目の前にある店舗に入れば、確実なデータが得られるにもかかわらず、その前にネット上のデータを集め、そちらの評判が悪ければ入るのをやめたりすることも。
すなわち、われわれはすでに「データを信じる生き物」へと進化していて、データによって日々の判断をするようになっているのです。
天気予報もデータ。電車の遅延情報もデータ。渋滞情報もデータ。
それらを提供する会社を信用して、そのデータに基づいて行動を決めています。このデータが信用できるものでなければ、私たちは怖くて行動ができません。データの信用度合いが、企業の信用と完全に一致していると言ってもいいでしょう。正しい情報を提供できない企業は、マーケットの中で生き残ることはできないのです。
また、データを「正しく使う」というのも、企業には求められる姿勢になります。ここで言う「正しく」には、二つの視点があると私は考えています。
一つ目が「法的に正しい」ということです。これはあまりにも当たり前の話ですね。ただ、デジタルの世界は歴史が浅いのと、変化のスピードが速いのが特徴なので、法整備が追い付いていない部分もあります。既存の法律が全く合っていない場合もしばしばあるので、「何をもって法律的に問題ないとするか」は、判断が分かれる場合もあるでしょう。
その際に大事なのが、二つ目の「倫理的に正しい」ということになるのではないかと考えます。これは、ある意味「人々の心情的に許されるか否か」という部分につながってきます。
どのデータが狙われるのかは、狙う側にしか分からない
ここで、「個人情報」という、最も扱いに気を使わなくてはならないデータについて考えてみましょう。
今はさまざまなクラウドサービスがあり、数多くの会社は個人情報と引き換えに無償でサービスを提供していますね。その個人情報は、企業の営利活動のために活用され、上げることのできた利益を還元する形で無償でネットサービスを利用できるようにします。そうなると「無償でサービスを利用するなら、個人データを利用されてしまうのはある程度は許容しなくてはならないのでは?」という考え方があるのも自然だと言えるでしょう。
ただ、個人情報というのは無償のサービスを提供している会社の中だけで影響が閉じるわけではありませんし、ましてや管理がずさんならどのような問題が発生するのか、すべてを予想するのは不可能です。そのためには、「集めた個人情報は、法的にはOKでも(あるいはグレーでも)、ユーザーの理解が得られない可能性があれば利活用しない」という姿勢が求められるのです。
今、多くのIT企業はこの問題に直面しており、個人情報の扱いを巡って報道も過熱していますね。つまり、この問題に真摯に対応することが企業価値を決める時代になっています。
ところで、そもそも個人情報って何なのでしょう?氏名、年齢、住所、電話番号、メールアドレス……どれを個人情報と呼ぶのでしょうか?
個人情報保護法では、以下のように定められています。
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)、または個人識別符号が含まれるもの
なんか、分かるような分からんような……という印象を持つ方もおられるかもしれません。というのも「これが個人情報ですよ」というのは、さまざまなケースで変わってくるからです。「個人の情報」でかつ「個人を特定できる情報」が「個人情報」であれば、特定できるかどうかを知っておかなくてはなりません。とはいえ、どの情報によって自分が特定されるのかなんて、なかなか分からないものですよね。
私はサイバーセキュリティーに関する情報発信をすることも業務として責任を持っています。その中で、個人情報の扱いについては、もちろん最重要トピックです。
ただ、「これらが個人情報であり、このように守れば完璧です」というのは、一言では言えないことがほとんど。というのも、サイバー犯罪において「どのデータが狙われるのか」というのは、狙う側にしか分からないからです。「そんなもの狙ってどうするの?」というものも、時として犯罪者は狙ってきます。
最悪な事態を常に想定しておこう
ちなみに、サイバー犯罪者は必ずしもインターネット経由でデータを狙うとは限りません。場合によっては、清掃員のふりをして、ビルのごみ箱から紙の資料を引っ張り出したりもします。どうしてそんなことをするのか。紙の情報は、持ち出されても気付かれにくく、かつ「情報の因果関係」が記されている場合があるからです。
ある会議の議事録を盗み出せば、「XX部のYY部長は、ZZというプロジェクトの責任者をやっている」という情報が分かります。ZZというプロジェクトに関わる機密情報が、別のプロジェクトで有用であるということを、犯罪者側は知っていてもYY部長は知らない、というのは不思議ではないですよね。
つまり、データは狙う側にだけ理由があって、狙われる側はその理由をすべて知ることはできないという前提で考えざるを得ないのです。
では、データを守るために何をすればいいのでしょうか? まずできることは「自分が思いつく最悪の事態を想定する」ということです。これも、すべてを想定するのは無理でしょう。なので、できる限りで構いません。
「銀行口座が空になると困る」「LINEが乗っ取られるのは嫌だ」「クレジットカード番号は大丈夫だろうか」
こういった「最悪の事態」をいくつか想定して、しかるべき対応をしておきましょう。銀行口座は複数に散らしておく。LINEなどのSNSは多要素認証をしておく。オンラインショッピングで使うカードは特定のカードだけにする。
このような準備をしておくだけでも、リスクを大きく下げることができます。自分に付随するデータをすべて把握することは難しくても、「困らないような備え」をしておくことは、誰でもある程度可能です。データが氾濫する世の中に生きるからこそ、データに殺されてしまわないように備えることにしましょう。
セブン&アイ出版さんから、私の三冊目となる本が発売されました。「あたりまえを疑え。自己実現できる働き方のヒント」というタイトルです。
本連載の重要なテーマの一つでもある「働き方」を徹底的に掘り下げてみました。
ぜひお手に取ってみてくださいね。
RELATED関連記事
RANKING人気記事ランキング
米国優位が揺らぐ?ひろゆき「CPUの進化でGPU神話って崩壊しません?」【AI研究者・今井翔太が回答】
表面的なテクニックより「基礎基本の重要性」に気付かされた一冊【Node.js 日本ユーザーグループ代表・古川陽介】
AWS認定資格10種類を一覧で解説! 難易度や費用、おすすめの学習方法も
NEW!
もう「仕事中のとっさの会話」で困りたくないエンジニアへ。コミュニケーションの瞬発力を鍛える三箇条【澤円解説】
社会で成功するゲーマーに、ひろゆきが聞く「現実世界を攻略できないゲーマーに足りないものって何すか?」
JOB BOARD編集部オススメ求人特集
タグ