日本セキュリティ・マネジメント学会誌 最新号

大規模災害時の情報サービスと個人情報提供の意思に関する研究

東日本大震災および熊本地震など過去の大規模災害において、情報通信の役割の重要性が評価されたことか ら、首都直下地震や南海トラフ地震等の大規模災害対策において、情報通信を利用した官民連携による様々な 取組みが行われている。東日本大震災後のSNS利用者の爆発的な伸びに伴い、多種多様なデータがビッグデー タとして蓄積されている現在、我が国では個人情報保護法改正によりビッグデータの利活用を促進する背景が 整った。 本研究は、大規模災害の防災・減災における「自助」の意識が高まりつつある背景において、災害時にビッ グデータを活用した民間事業者によるサービス提供の可能性と費用負担検討のための資料となることを目指し、 ネットワーク利用者がサービスを享受する対価として個人情報を提供するインセンティブを計ることを目的と する。具体的には、「位置情報」「家族情報」「身体情報」「医療情報」「金融情報」のシナリオに関する社 会調査によりデータを収集し、CVMを手法とした分析を行い、大規模災害時のサービスに対する利用者の支払 意思額を推定し、金額として2,203円から3,619円が得られた。さらに、どのような利用者の属性や背景が評価 に影響を与えているかを実証的に明らかにした。その結果、「同居の子供あり」、「緊急地震速報の際即避難 する」、「ネット上のトラブル経験あり」、「個人情報利用に対する意識」、「1ヵ月に自由に使える金額」が 影響を与えていることが分かったが、予想していた過去の大震災の被災経験や災害に対する備えは、明らかな 影響は得られなかった。

サプライチェーン内の情報セキュリティとインシデント発生時における内部求償関係の効率的解決制度の提案

個人情報の取扱や ICT を利用したサービスの構築、運用では、委託の多段化が進み、それに対する情報 セキュリティの確保が必要となっている。既に、法律や政府の政策、ISO も、サプライチェーンにおける情 報セキュリティを要請している。しかし、一旦インシデントが発生すると、委託元・委託先間での責任分界 が問題となることが考えられ、委託元としては踏み込んだ協力を躊躇することも考えられる。一方、脅威や 技術の進化により、情報セキュリティインシデントを完璧に防御することが難しくなるのに従い、経済合理 性の範囲内で可能な限り高い情報セキュリティの構築に努めてきた事業者にとり、インシデント発生の責任 を問われるとすれば、無過失責任に近づくとも言える。その課題の解決には、同じ無過失責任の製造物責任 法の実務を参考にできる。就中、製造物責任訴訟の経験豊富な保険会社が被保険者を代行して紛争処理まで 行う米国の製造物責任保険のような保険や、保険契約を梃子にした製造物責任の専門家による仲裁制度ができれば、責任分界を気にせずに、サプライチェーンとして協力してセキュリティレベルを上げていくことができると考えられる。これは、複数の事業者からサービスやデータを「仕入れ」てサービスを提供する IoT を利用したサービスでも有効である。

ISO/IEC 29134:2017 適合のプライバシー影響評価実施マニュアルの開発

現在，多量の個人情報がシステムに収集，処理，保管されている．また，官民問わず，個人情報の利活用が盛んになっている．個人情報を扱うシステムを適正に構築運用するためには，事前のリスクアセスメントとして，プライバシー影響評価（PIA）が有効である． PIA の実施動向として，2017 年 6 月に PIA に関する国際標準規格 ISO/IEC 29134:2017 が発行された．EU では 2018 年 5 月に施行される一般データ保護規則（GDPR）でデータ保護影響評価の実施が規定された．日本では，番号法に基づいて特定個人情報保護評価が義務付けられたが，このような背景から，マイナンバー以外の分野でも PIA 実施の重要性が認識されている． PIA を有効に実施するにはマニュアル（手順書）が必要である．過去に開発した PIA マニュアルは ISO 22307:2008 をベースとしているため，ISO/IEC 29134 適合の PIA 実施マニュアルの改訂が必要となった．PIA 実施マニュアルの開発にあたり，既開発のマニュアルと ISO/IEC 29134 との要求事項の比較を行い，変更点を分析した．比較分析の結果，要求事項には大きな差異は見られなかった．ISO/IEC 29134:2017 では，Due Diligence（デューデリジェンス），ステークホルダーエンゲージメント，リスク対策について明示的に記述された．この分析結果を踏まえ，ISO/IEC 29134 の要求事項を反映した PIA 実施マニュアルを開発した． 本稿では， PIA に関連する各国際規格などの概要と，ISO/IEC 29134 準拠の PIA 実施マニュアル開発にあたり，既開発のマニュアルと ISO/IEC 29134:2017 における要求事項との比較分析結果を中心に述べる．

EU におけるフェイクニュース対策

近年、インターネット上におけるフェイクニュースの流布・拡散が、セキュリティに関する問題の一つと しても取り上げられるようになってきている。フェイクニュースは経済活動や社会生活の基盤である民主主 義自体を脅かすものとなっており、サイバーセキュリティの一問題として捉える見方も現れている。EU は、 2019 年の EU 議会議員選挙を控えて、フェイクニュース対策を行っている。ENISA が虚偽情報流布活動と その対策について技術的要素と人的要素の両面から分析を行い、フェイクニュース流布・拡散の土壌となっ ているプラットフォーム事業者に対しては、2018 年 7 月までに共通の行動規範 (a common Code of Practice) を策定して遵守することを求めた。他方で日本においては、フェイクニュースを法的に規制することはきわめて困難であるとされており、フェイクニュース対策はセキュリティ・マネジメントの概念にも影響を与える可能性がある。

ウェブ情報の信憑性と情報アクセスシステム

ウェブが重要な知識基盤の 1 つになっている一方，ウェブ情報の信憑性が社会問題になりつつある。本稿 では，アルゴリズム，ユーザインタラクション，人間理解の観点から「ウェブ情報の信憑性と情報アクセス システム」に関する現状と課題について述べる。