NEW THINKING セキュリティの常識と非常識 - 誰もがリスクテイキングを問われる時代に -

エコノミスト・独協大学教授 ：森永 卓郎氏 スパイウェアをはじめ、フィッシング詐欺や振り込め詐欺まで、わずかな個人情報から想定外の被害が危惧される現代。今を生きる私たちに必要な知恵と対応策は何なのか。

個人情報は一瞬で流出する「今」の世の中。

インターネット黎明期とは異なり、現在は個人情報を収集して蓄積・分析する技術が飛躍的に向上しました。電子名簿業者が保有する個人情報には、個人名から住所や電話番号、メールアドレスばかりか、職歴や所有する自動車の車種までが一瞬で検索できてしまうものもあると言われています。

森永 卓郎　 Takuro Morinaga 1957 年東京生まれ。 エコノミスト。 専門分野はマクロ経済、計量経済、労働経済。東京大学経済学部を卒業後、日本専売公社、日本経済研究センター、経済企画庁総合計画局、（株）三和総合研究所（現：三菱UFJ リサーチ&コンサルティング）主席研究員を経て現在は獨協大学教授。ミニカーなどのコレクターとしても有名。

個人情報はいったん漏れてしまうと取り戻すことはできません。ましてやそれが悪意ある業者の手に渡れば大変なことになります。残念ながら現代社会はそんな状況になってしまっているのです。

私の友人のあるジャーナリストは、電車に乗るときにICカードパスを使わないんです。ICカードパスは自動改札を通過するたびに乗車記録が残ります。
「第三者に自分の行動記録を知られてしまうことが嫌だ」ということなのですが、これは少々大袈裟な例ですね（笑）。

以前から米国では電話に出る際、「ハロー」の後に名前は名乗らず自分の電話番号を応答していました。日本ではまだ「もしもし」の後に名前を告げるケースが多いと思いますが、個人情報の危うさを考えると米国のスタイルを取る方が増えてくるかもしれませんね。

また、銀行のキャッシュカードなども、「頻繁に暗唱番号を変えるように」とよく案内されていますが、これも被害の多さを物語っているのでしょう。

典型的なのがネット銀行で、暗証番号だけでなく乱数表を使ったIDも入力しなければアクセスできなかったりします。ネットカフェにスパイウェアを忍び込ませるだけで簡単に犯罪が成立してしまうので、銀行もさまざまな対策を講じているのです。

しかし、あまり複雑になると利用者が困るんですよね。私も最近までは暗証番号を頻繁に変えていましたが、わからなくなってしまうんですよ（笑）。これからは、どうしたら利用者に手間をかけさせずにセキュリティを強化できるかが知恵の出しどころになるのでしょうね。

被害者にならないために、すぐ実践したいこと。

いくつかの限られた情報で、個人は簡単に特定できてしまいます。しかしネット社会ですから、何らかの会員になる場合などは自分の属性を登録しなければならないことも多々あります。そこで自衛策として、最低限必要な情報だけしか入力しないことも大切です。私は任意の情報欄には絶対に入力しません。

それとホームページ上にメールアドレスなどをテキストで掲載するのも避けたほうがよいですね。以前は私もホームページにテキストでアドレスを出していたんですよ。するとロボット検索で収集され、スパムメールでメールボックスがパンクしてしまいました。

個人でも企業でも、ホームページにメールアドレスを掲載しなければならない場合は画像データとして掲載することをお勧めします。私の場合もそれだけで随分スパムメールの増加を食い止められました。

たまにゴミ箱に溜まったスパムメールを見ると、CC欄に他のアドレスがずらっと並んでいることがあります。一斉同報するときはBCCにするとかエイリアスを設けるのがルールですが、悪意のある者はそれもお構いなしですから、自分のメールアドレスを検索されないようにすることは大切な自衛策のひとつですね。

セキュリティ対策は、技術の戦いという視点で考えるとイタチごっこになりかねません。そこで重要になってくるのは、やはり個人個人のセキュリティ意識だと思います。

会社のノートPCを自宅に持ち帰るなら、絶対に網棚には載せない。膝の上に置いて掴んでいなければ駄目です。そして当然ですが、Winny（ウィニー）は絶対使わない。常にウイルスが侵入するリスクがあるのだということを認識すべきです。また、情報セキュリティの知識には個人差があるので、社内などにすぐ相談できる詳しい人がいると良いですね。

企業は「守り」を固めるばかりでは発展できない。

企業ではコンプライアンス体制強化のために、社内の情報が一切漏れないような仕組みを躍起になって作っている会社もあります。しかし敢えて経営者やシステム担当者の方々に提言したいのですが、やたらに外部との情報流通を制限するような対策は得策ではありません。

セキュリティを確保するのは当然のことですが、それと同時にオープンな環境を維持することもますます重要になってきているのです。

今、市場では大きな変化が起こっています。90年代からメガヒット商品が生まれにくい傾向にあり、新商品が出ても小粒で、その寿命も短くなっています。それだけ消費者の嗜好の多様化と細分化が進んでいるのです。

一方、ネット社会では、驚くほどニッチなマーケットが成立してきました。こうした市場環境下では、ますます非定型でクリエィティブなアイデアが重要になります。

新しいアイデアは「無」から絶対に生まれないので、企業がセキュリティ対策の名のもとで情報の流通を遮断してしまうと、それが元で進歩を止めてしまい、企業存続の危機をも招きかねません。

私用メールを一切禁止している企業を見受けることがありますが、私はこれは間違った方針だと思います。

新しいアイデアは、複数の知識や知恵が重なったところに生まれるものですし、むしろ現在の社会はメディアに載っていないような情報にこそ価値があったりすることも多々あります。私用メールなどを禁止して、むやみに情報を閉め出してしまうと会社が変われなくなるんですよ。ですから会社のネットワークを閉じては駄目なんです。

経営者は、事前に情報セキュリティリスクを確認・評価することが重要であり、施策を講じるとともに社員のセキュリティ意識を高める活動を行うことが大切なのではないでしょうか。また、ソフトウェアを提供する企業には、ある程度のレベルまでは自動でセキュリティ対策を行ってくれるようなシステムの実現を期待したいですね。