身近な疑問に答える情報セキュリティ対策【法律事務所向け】 その3
こんにちは。山本了宣です。
セキュリティ対策は、日常の業務に深く関わってくるものです。
「これまで○○してきたけど、これってそもそもOKだったのだろうか?」
「常識で考えたらこのくらい大丈夫そうに思うけど、実際のところはどう?」
そういった様々な疑問がわく場面もあるのではないでしょうか。
さる2022年、私の所属する大阪弁護士会の会員向け雑誌で、情報セキュリティについてのインタビューを受けました。
セキュリティについて予備知識が無くても分かるように、身近な疑問をベースに質問を投げてもらっています。
結果としてできあがった記事は、IT関連も、IT関連ではないことも含めて、身近なところから幅広く扱われた内容となり、お読みいただくと色々な疑問の解消に役立ちそうに思いました。
上記雑誌では、インタビューを受けた本人が自分のブログ等に記事を転載することが認められています。せっかくですので、ここでご紹介します。
今回は第3回です。
情報ライフサイクルの管理
情報の取扱方法
(1)情報の受領・取得
受領(郵便・宅急便)
質問 郵便や宅急便を利用する際に気を付けることですが、昔に比べて、普通郵便ではなくてレターパックで送ることが増えたように思いますが、いかがでしょうか。
山本 このあたりは敢えて私が説明するほどのことも無いとは思いますが、情報セキュリティという視点で言えば、郵便には、途中で紛失したり ポストから盗まれたりといったリスクが想定できます。それを避けるべき場面では、書留やレターパック(手渡しが必要ならプラス)などを 利用することになります。配達過程の記録は、追跡性の確保ということになります。
受領(電子メール)
質問 不審なメールの見分け方を教えてください。
山本 表現が不自然とか、内容に心当たりがないとか、送信元が未知のアドレス(※1)であるとかがあります。当たり障りがなさ過ぎる内容も本人かどうか分からないので、本人の顕著な特徴が本当にメール本文中に含まれているかという視点も有効です。「詐欺メールはよくある」と思っているだけでも眼力は多少上がります。あと、添付ファイルが暗号化されているものは、気をつける必要があります。
質問 添付ファイルが暗号化されているとなぜ危ないのでしょうか。
山本 ウイルスを送るときの常套手段だからです。メールの送信経路の途中でサービス提供者がウイルスチェックをかけることがあります。この検知を逃れるために、暗号化して(=パスワー ドをかけて)送る手口がよくあります。「機密情報を送るときにパスワードをかけろ」ということが言われたりしますが、受信側の立場に立つと、ウイルスチェックが迂回される&ウイルスと紛らわしいという難点が指摘されていま す(多くの人に暗号化ファイルを気にせずぽんぽん開く習慣を植え付けることにもなる)。実際あった話として、弁護士が依頼者に対してメールを送るときに、サブである自分のGmailアドレス(@gmail.com)から送ったところ、依頼者から、「先生を名乗るメールが来たけど、本当に先生が送ったものですか」と電話がかかってきて確認されたと。この依頼者さんの対応は正しいですね。不審なメールを見分けると言っても、巧妙なものになると結局限界があるということは言えます。大事な局面ではメールに頼らず(名乗りや中身をそのまま信じない)、電話や対面で確認するなどの対処も有効と思います。
質問 ついこの間、大阪の総合病院でランサムウェア(※2)の攻撃を受けて、電子カルテシステムが1 週間たっても復旧しないというニュースがありましたけれども、原因は分かっているんです か。
山本 現段階では十分な情報がないですが、VPN(バーチャルプライベートネットワーク) から侵入されたとする報道があります。VPN は法律事務所でも導入していることが結構あります。事務所の外から事務所の中の機器にアクセスできるようになりますが、要するに事務所のネットワークに穴を開けることになるので、VPNの装置に弱点があったりすると、ハッカーも侵入できることになってしまいます。 VPNの弱点を狙ったサイバー攻撃はよく報告されています。法律事務所でももちろん注意が必要です(※3)。ランサム攻撃のよくある進入経路として他にはメールの添付ファイルがあります。この種の攻撃は、要は他人のPCの中に、プログラムを送り込むところがキーポイントになります。メールの添付ファイルを開かせるのはかなり簡単なので、よく狙われるというわけです。
取得(録音又は録画)
質問 スマートフォンを安全に仕事で使うには、どのような準備が必要ですか?
山本 一般論としては、業務専用スマートフォン (後記、スマホと記載)だったら望ましいとは 思います。しかし週7日どこでも働いているような方もいらっしゃる訳で、その場合に機械を分けることがどこまで現実的か、また、分けることで逆に落とすリスクを高めたりしないかという問題も出てきます。同じ端末でということはやはりありうる訳ですが、この場合、意識としては、プライベートのスマホを仕事で使っているというよりは、仕事用のスマホの一部をプライベートで間借りしているという感覚であるべきと思います。たとえばスマホのアプリは悪い動作をするものがあり、スマホ内の情報を勝手に盗むということもあります。何も考えずに趣味や遊びのアプリをぼんぼん入れていくというのでは困るわけです。「これは仕事用のスマホだ」と思って自制したほうがよいと思います。また、写真は気をつけたほうがよいです。受任事件で撮影した写真と、旅行の写真とがギャラリーで一緒に並んでいるというのでは、管理上の問題が起きやすいです。もしスマホを使う必要があるとしても、業務用のアプリ上で撮ってギャラリーに残らないようにしたり(※4)、もし直接撮ったとしてもすぐに移動して消すなどしたほうがよいです。もう一つは起動のパスワードで、4桁の数字というのは短いですし、6桁の数字でもどうかなというところです。要は、落としたときに安心できる強度かです。基本的にはオプションで英数字にするほうがよいと思います。顔認証とか指紋認証は有効で、これをかければパスワードを毎回入れなくてもいい=パスワードを強くしやすいですし、人前でパスワードを打たなくてすみます。生体認証はつけたほうが、総合的には利便性もセキュリティも向上します。
質問 スマホを紛失する危険にはどう準備すればよいでしょうか。
山本 まず、「肌身離さず」持つようにしてください。既にスマホは財布と同等以上の貴重品です。それと、スマホを探すという機能、iPhoneであれば、文字どおり「探す」というアプリが存在するんですけれども、この機能を使えるようにしておきます(設定を確認して、オフになっていたらオンにします)。スマホ自体の位置情報を探索できたり、ロックができたりという機能がついていて、パソコンなどからも操作できます。ただ、探せるとは言ってもたとえば悪意のある人に拾われたらかえってこないわけで、そもそも落とさないことはやはり非常に重要です。でも、「探す」のおかげで、無事に発見できることもある訳で、やっておくべきことなのは間違いありません。
(2)情報の保管
保管(モバイル機器)
質問 自宅で準備書面を起案するために、事件記録のデータをUSBメモリに入れて持ち帰ることがあります。何に気を付けたらいいですか?
山本 そもそもそれをしないほうがよいというのが、まず言えるかと思います。尼崎市で業者が 全市民の情報が入ったUSB メモリを紛失したという事例がありましたが、この「紛失」がドUSB メモリの怖さです。仮にノートパソコンを持ち歩くのであれば、直接ノートパソコンにデータを入れたほうが落とす危険が少ないです。また、クラウドストレージなどを利用している場合も、USB メモリは必要ないと思います。
仮にUSB メモリを使うとしても、無秩序にデータを入れ続けるのはやめたほうがいいです。気がついたら何年分かの書面が入っていたなんてことになります。基本的には一時利用のツールと位置づけ、用が済んだデータはすぐに消すという使い方になります。更に、パスワードがかかるUSBメモリを選びます。
ここまでの話を聞いて、「なにそれ面倒くさい」と思われると思いますが、ある意味その通りで、そんな面倒くさいことをするよりも、もっと便利で安全な方法がほかにあるというのが現状です。USB メモリは、利便性・安全性の両面からお勧めできない存在になってきていると思います。
質問 山本先生は、USB メモリを使うことはほぼないという感じですか。
山本 ほぼないですね。出先で他に手段がないとか、かなりの例外ケースです。
保管(外部サービス)
質問 クラウドでデータを管理・保管すると、大災害が起きインターネットに接続できない場合に 困ったりしませんか?
山本 もちろん困りそうですね。これは間違いなく弱点になります。ただ、そういう大規模な障害が起きた場合には、自分だけではなく、他の方も動けなくなりますので、「自分だけ〇〇できなくて取り残される」ということにはなりにくいと思います。例えばMicrosoftが障害で動かなくなりましたというときは、周りも仕事ができなくなるわけなので、「公共交通機関が止まりました」というのに似たところがあります。一方、終局的にデータが消失するリスクというのは別途考える必要があります。これはバックアップの問題となります(※5)。
質問 最近、例えば戦争になっているウクライナなどでは、衛星を使ったインターネット相互接続が使われていると聞いたんですけれども、そういう流れになっていくのでしょうか。
山本 それは災害リスク対応に近い捉え方でしょうね。インターネットへの依存というのは強まる一方なので、いざというときの備えというのはより重みを増していくんだろうなと思います。この点は私自身ももう少し研究したいなと思っています。
質問 Googleの利用規約には、Googleが、Googleドライブのコンテンツを削除しうる場合がある (例えば児童の性的虐待と搾取)としています。このようなクラウドサービスを利用するこ とは守秘義務違反にならないでしょうか。
山本 これはなかなか難しい問題です。守秘義務を広く捉えると、守秘義務違反と見る余地があるかもしれません。一方で、たとえば飛行機に乗るときに、証拠物件をかばんに入れていて、X線でチェックされたら守秘義務違反かどうか。捉えようによってはそういったラインの話とも言えます。また、そもそも論として、クラウドサービスでは、コンテンツ削除に限らず、文書内容の機械的なマッピングというのはおこなわれています(検索機能はこれによって実現しています)。これを直ちに守秘義務違反とまで捉える意見は多数派ではないと認識しています。
もしも、「クラウドサービス提供者にデータが一切読まれるべきではない」とはっきり意思決定できた場合については、データを暗号化するという対処法があります。極論を言えば、パスワードをかけてからアップするだけでOKです。ただ、たくさんのデータを手作業でパスワード付加するのは現実的ではないので(※6)、日常的に暗号を使いたい場合は裏側で勝手に暗号化してくれるようなツールの利用を検討するほうがよいと思います(※7)。
(3)情報の発信・交付
発信(電子メール)
質問 メールの誤送信を防ぐ方法はありますか?(※8)
山本 誤送信に関しては、意識のレベルの話と、仕組みのレベルの話があります(※9)。意識としては、 「メールは誤送信しやすい」「影響が甚大だ」ということを意識して、常に注意して慎重に扱います。誤送信に関しては一番原始的で手軽な対策は、「返信」を使って送ることです。新規メール作成してアドレスを入れたり、予測入力を選んだりすると、そこで宛先がずれるパターンが結構あるからです。返信のいいところは、宛先が変わらないことと、そこまでのやり取りの履 歴が存在しているので、それを目で見て、この流れはこの相手だなと直感的に確認しやすいと ころです。それと、送信取消機能が重要です。メール送信操作をしても、しばらくの間送信が保留されており、後から送信をキャンセルすることができる機能です。「あっ」と思った時に短時間ですがメールを回収できますので、かなり大きな違いがあります。Outlookのメーラーや Gmail(ビジネス版(※10)含む)に標準で付いています。あとは、ファイルなどの重要情報をどのように渡すかです。1つの有効なアプローチは、そもそもメールで重要なファイルを送らないようにするというものです。クラウドストレージのフォルダを事前に共有しておいて、そこにファイルを入れるようにします。メールでは、「入れましたよ」ということだけ伝えます。ついでに言いますと、私はメールの宛先は、指差確認をしています。普通に一人で画面を指で差しながら宛先をチェックしています。結構有効ですよ。
質問 メールを送る際に、宛先のアドレスが自動で入力され、これが誤送信の原因になるというお話がありましたが、それを防ぐ良い方法は何かありませんでしょうか。
山本 それは前述の返信が身近な対策として有効と思います(ccに思わぬ宛先が増えていないかは確認する必要があります)。似た名前と間違えるパターンと、割とあるのが、メールの中で話題にしている人の名前で間違って送るというパターンです。Aさんに対して送るメールにBさんのうわさ話を書いていたら、そのまま間違えて宛先にBさんを入れるみたいなミスです。
質問 それはよくないパターンですね。
山本 むちゃくちゃよくないですね。多分このせいじゃないかと思うのですが、依頼者に送るはずのメールを間違えて相手方に送ってしまうというような、深刻な事故があります。更にそのメール本文が、相手方の手によってネット上に 弁護士の実名入りでさらされているといった事 例まであります。誤送信に関しては、意識と工夫の両面から十分に対策したほうがよいと思い ます。いざ誤送信したときに助かる送り方を、普段からしておくという考え方もあります。そもそ も論として、秘密の情報をあまりメールに載せないということです。クラウドが前提になりますが、秘密の情報は、ログインによって守られた空間(たとえばクラウドストレージの共有済みフォルダ内)で扱う(※11)というのが、不慮の情報漏洩を防ぎやすいアプローチです。
質問 添付ファイルにパスワードをかける方法をとった場合、パスワードをメール以外で、相手に知らせる方法はありますか?
山本 古典的なところでは電話とかファックスでも可能だし、SMSを使うというのもあるし、極 論何でもいいと思います。受任時にパスワードを1つ決めて、あらかじめ渡しておく方法も考 えられます。
発信(ソーシャル・ネットワーキング・サービス)
質問 ソーシャル・ネットワーキング・サービス (SNS)における情報セキュリティリスクを教えてください。
山本 これは色々あると思います。基本的な意識として、ちょっとした指先の操作で、世界中に瞬時に情報が出ていくようなツールであるという認識は必要です。極論、間違ったものをペース卜するとか、ポケットに入れたときに想定外のところでボタンが押されて勝手に投稿されるとか、そういったことも起こりえる訳です。リアルタイムでいろいろ投稿するというのも、非常に情報が豊富になります。何月何日何時何分に誰が何をしているということが、世界中の人に分かるわけです。「旅行に行っています」とSNSに投稿したのが理由で盗みに入られたなんていう事例もあります。弁護士は、恨みなどを動機にして狙われることもある職業なので、あまり気楽に何でも情報を流している場合、悪意を持った人がもしその情報を頑張って寄せ集めたらどうなるかということも考えてもらったほうがいいと思います。
質問 SNSから重要な個人情報が思ってもみないところに漏れてしまうリスクが相当ありそうで すね。
山本 はい、OSINT(オシント) Open Source Intelligenceという言い方があるわけですが、要するに誰かをターゲットに定めた場合、単純に公開情報を寄せ集めてくるだけでも 相当なことが分かりますよね、ということです。SNSはその有力な素材です。趣味だって分かるし、出身だって分かるし、最近こいつはこれが気に入っているなというところからパスワードを推測するなんていうのもあります。断片をつないで更に新しい情報が推理できることも珍しくありません。あと、自分の体験や投稿を通じて、同行者など他人の秘密を流すことになっていないかも要注意です。特にライブ的な投稿とか体験ベースの投稿はリスクが上がると思います。
質問 「〇〇なう」みたいな投稿ですね。
山本 そう、なう的なものは高リスクですね。あとは、匿名アカウントというのも、結構特定できてしまうので注意したほうがよいと思います。たとえば「それなりに特徴的なエピソード(なう)+大阪の60期代の弁護士です+刑事をよくやっています」くらいまで揃った場合、「特徴的なエピソード」の当事者になった人がその投稿を読めば、98%本人だと推定すると思いますよ。
マスキング
質問 個人を特定できる情報部分をマスキングしてSNSにアップするのは問題ですか?
山本 マスキングしたからといって、どこまで出していいかという論点がまず存在します。受任事 件の状況について名前を伏せて詳細にブログに書いたことが、守秘義務違反とされた事例もあるようです(※12)。SNSにアップするというのは、要するにインターネット経由で世界中に公開す るということなので、その行為の法的許容性や妥当性については、厳格に検討していただく必 要があると思います。もちろん、検討の結果、必要かつ許容されると判断できた場合に実行さ れることは、自己責任の範疇です。ある意味ではセキュリティの問題ではないとも言えます(※13)。
質問 自分の知っている人だけじゃなくて、誰でも見られる状態になることを考えないといけませんね。あとは、公開範囲をお友達に限定したとしても、その友達を通じて情報が洩れることが現実に起きています。
山本 そもそも論の話ですが、簡単な設定ミスや変更で想定外の人が入り込むことがある訳ですし、その人がそのまた知り合いに伝える可能性もあるわけです。「信頼する50人に限定して SNSに秘密を書きました!」というのは、なかなか成り立たない話に聞こえます。SNSは、公開範囲をどう限定している場合でも、「最悪公開されてもなんとかなる」情報に限って使ったほうがよいと思います。
(4)情報の持ち出し・複製
持ち出し
質問 自宅で訴訟記録を読みたいとき、安全に情報を持ち出すにはどうしたらいいですか?
山本 このニーズについては、電子データが有利だと思います。クラウドやリモートデスクトップ、VPNなどが候補になります(※14)。単にノート PCに保存して持ち出すという方法も考えられます。既に述べたようにUSB メモリは避けたほうがよいです。紙の記録はここが悩ましくなります。紙だと、漏洩という問題と、滅失するというリスクが両方目立ってきます。自宅で別のものに紛れてしまうとか、道中でぺらっと落とすとか、飲み屋に記録が入ったキャリーバッグを忘れてくるとか、いろんなことがありえます。事務員さんにリモートで仕事をしてもらうときに、紙の記録を持って帰ってとはなかなか言わないと思うんですが、そこの感覚ですよね。紙のほうが高リスクに感じられます。
質問 情報セキュリティというと、どうしてもIT とかデータという形になりますが、振り返って、紙ベースでの情報の管理をよく見てみると 情報セキュリティの観点から甘かった部分もあるかもしれないですね。
山本 それは考えておく価値はあるかと思います。紙の場合には、いきなり世界中に拡散するところまではいかないとか、ネットワーク越しに盗まれることはないという、一定の安心感はありました。一方で、紙を物理的に紛失することも、当然ながら個人情報などの情報漏洩にあたるわけで、その防止策は改めて検討してよさそうです。
複製
質問 「取扱情報を必要な範囲を超えて複製しない」と言われていますが具体的にどのような意味ですか?
山本 紙でいえば、無駄にコピーがあちこちたくさん散らばってるようだと困りますね、という感じです。常識的な範囲でやっていればあまり問題にはならないと思います。電子データの場合は、あちこちのフォルダに無駄にファイルがコピーされて散らかっているのがよろしくないということは言えます。むしろ、「正規の置場を決めてそこに集約しましょう」というイメージがよいと思います。
質問 自分のパソコンに保存、サーバーに保存、クラウドにも保存というような場合はどうでしょうか。
山本 その置場の全てがきちっと管理されており、想定された範囲なら別によいわけです。しかし、ほんとに何も考えないで、色んなクラウドサービスを思いつきで使っており、どこに何を入れたかも覚えていないなんてことになると、データの所在が管理できていませんよねという ことになります。
質問 利用していたクラウドサービスを解約する場合、データはどうなるでしょうか。
山本 自分で削除処理をしてから解約するとか、できるだけの対処をすることが考えられます。ただ、これはクラウドの弱点ですが、データが向こうの支配領域下にあるので、絶対に消してもらえる保証は理論上はありません。疑いだしたらキリがないので、懐疑主義者になれと言っているわけではないですが、少なくとも、むやみやたらに色んなところにデータを置くのがマイ ナスになることは確かです。サービスは絞り込んで、自分はこれに預けると決めたら基本そこ でやるという感じだと思います。
質問 クレジットカードの切替え等で料金が落ちなくて、いつの間にか解約になっていたといった恐ろしいことが現実に起きてしまった場合、失われたデータはもう戻ってこないということで すよね。
山本 一般的に言えることとしては、たまにしか使わないものは問題を抱えやすいです。日常使っているものは、状況も分かっているし、安全性も確保しやすいですけれども、「そういえばこの半年触ってないな」みたいなサービスは、状況が分からなくなりますし、怖いですね。そういうのはできるだけ発生しない形態がよいのでしようね。
(5)情報の廃棄・返還
廃棄(総論)
質問 私の事務所では終わった事件記録を後々のことを考えて、所内の書庫に入れて半永久的に保管しています。情報セキュリティの観点から、 問題ないでしょうか。
山本 セキュリティの世界の一般論でいうと、保存すべき期間ぴったり保存しなさいということが言われます。本来保存すべき期間より短く廃棄してはいけないし、それより長く持ってもいけないという話です。ただ、弁護士にその話を持ってきたときに、よく分からないところが正直あって、果たしてそんな簡単なものかどうかですね。
質問 弁護過誤の損害賠償義務の主観的時効は5年間で、客観的時効は事件終了後10年間。そうすると10年は保管、ということになりますか。
山本 その10年が一応目安になるかな?みたいな状況ですね。持つべき期間についてはちょっともやもやした話になってしまいますけれど、一方で、情報漏洩の観点ではリスクが上がることは確かなので、保存方法には気をつけましょうということになると思います。電子データの場合だと、アーカイブ用のデータ置場は、日常オペレーションではアクセスできないような持ち方をするというのが1つのアプローチです(※15)。
廃棄(紙媒体記録等)
質問 不要になった書類はシュレッダーを使ったり、裁判所からも受託しているという業者に依頼してダンボールごと溶解しています。問題ないでしょうか。
山本 一般的には問題ないと思います。当会で先日おこなわれた民間講師によるセキュリティセミナーでは、中にはいい加減な事業者もいて、1 か月間書類がほったらかしになっているような場合もあるという指摘がありました。預かったら確実に即日溶解するというような事業者を探すのは一つだと思います。また、シュレッダーにかけた上で溶解というのがより確実な方法な ので、特に機密性の高いものについてはこの方法もあると思います。
廃棄(データ)
質問 ノートパソコンを廃棄するときはどうしたらよいでしょうか?
山本 信頼できる廃棄事業者を利用することになると思います。基本的知識として、PCの操作でゴミ箱に入れるとか、ゴミ箱をカラにするとかしても、HDDやSSDに書き込まれたデータは実はそのまま残っています。それなりの機器を使えば復元したり抽出したりできてしまうとい うことです。物理的にしっかり破壊することが確実です。なにせ扱っている情報が情報ですので、慎重になったほうがよいです。中古に売りに出すなんていうのは、まずやめたほうがよいと思います。
質問 20年ぐらい前、ハードディスクを取り出して釘でがんがんとやったら大丈夫と教えられました。
山本 どこをどのぐらい壊すかによるんですけれども、単に中央部分を壊しただけでは、HDDとして動かなくなるというだけで、データは取り出せる可能性があります。HDDやSSDを裁断する(シュレッディング。サイコロ角くらいにバラバラにするイメージ)のが望ましいとされますが、自分では無理なので、業者に依頼することになります。
あと有効な対策が1つあって、Windowsには BitLocker (ビットロッカー)という、ハードディスクを常時暗号化しておく機能があります(※16)。それをかけておくと、データが常時暗号化状態で書き込まれるので、復元キーが分からない限り、あとでHDD、SSDのデータを吸い出すことは難しくなります。とはいえ、それでも慎重になったほうがよく、しっかりとした廃棄が原則です。
(6)会議?期日出席
質問 Zoomのウェブ会議は情報漏洩のリスクがあると言われますが、実際のところはどうなのでしょうか?
山本 目と耳のコントロールが難しいということは言えると思います。例えば20人で開催してい る会議で、その参加者全員を確実に検証できるかというと、なかなか難しいと思います。表示 名を見て、「オーケーかな?-どうぞ」とやっているだけで、その表示名さえ見てないかもしれないし、表示名は自由に名乗れるという問題もあります。画面オフにしていたら、カメラの前に誰がいるかも分かりません。ただ、参加用のURLが漏洩しない限り、そして、参加者に悪意がない限り、部外者が入ってくることは容易ではないので、基本的な機密性は確保できるという考え方だと思います(※17)。(参加者に悪意があるシナリオだと、リアル会議でも秘密録音なりなんなりできることは変わりません。)例えば裁判所のウェブ期日のように、参加者は数人レベルで、顔も写る状態でしゃべっていて、お互い事務所にいますね、背景も映っていますねというぐらい確認できていると、他人が勝手に参加しているというようなことは、かなり起こりにくいだろうとは言えます。もう一つ、ハッキング的な漏洩のリスクがあるかというレベルの話があるかと思いますけれども、私の知る範囲では顕著なリスクは指摘されていません。通信経路自体は暗号化されているので、盗聴などのリスクはそこまで考えなくてよいという感じだと思います。もし本気で通信の秘密を徹底的に確保したいときには、エンドツーエンド暗号化を検討してください(※18)。
3.点検及び改善
質問 情報セキュリティの点検はどの程度定期的に行う必要がありますか?また、何をすればよ いのでしょうか?
山本 一概には言えませんが、少なくとも年1回以上というのが1つの目安になると思います。たとえば、弁護士情報セキュリティ規程が成立した6月には定期点検をする、とかどうでしょうか。定期点検ということが言われるのは、業務のあり方やセキュリティ上の脅威は変わっていく、運用が実際にきちんとおこなわれているか確認する必要がある、機器の設定などに知らない間に問題が起きていたりする、といったことが理由です。たとえば、①現在の運用がルール通りになっているかチェックする、②業務の変化や、セキュリティ上の新しい脅威に対応する ために、基本的な取扱方法や関連文書を必要なら改訂?改善する、③機器やサービスの設定の重要部分を確認しなおす、④全員で運用の重要ポイントを確認する(意思統一・教育)、などが考えられます。各種のチェックリストなどを利用して、ある程度網羅的に見ることが有効だと思います。ちょっとイベントっぽくやったほうがうまくいきそうです。
4.漏洩等事故が発生した場合の対応
質問 例えば、USB メモリを通勤途中で落とした場合、まず、何をしなければいけませんか?
山本 USB メモリの紛失は立派な情報漏洩事故になってしまいます。ともかく取り戻せないかなんとか頑張ることになると思います。それが第一です。本当に紛失してしまった場合については、改正個人情報保護法(※19)を確認しておく必要があります。一定の要件で、個人情報保護委員会への報告と、個人情報の主体への通知が義務になりました。要配慮個人情報が漏洩した場合はこれに該当し、更に、要配慮個人情報には、健康診断の結果(※20)や犯罪の被害にあった事実なども含まれます。弁護士がふだん持ち歩いているものの中に、要配慮個人情報が入っている可能性はかなり高いと思うので、USBメモリ紛失となると、上記義務への対応を考える必要が出てきます。
質問 個人情報保護委員会への報告と主体への通知が必要になる可能性が高いということですね。
山本 そう思います。「高度な暗号化」が除外事由となっているので、USB メモリ全体に十分な強度の暗号化がかかっている場合は、助かる可能性もあります(※21)。せめてパスワード付USBメモリを使ってもらったほうがよいと思います。 こういう場面を考えると、クラウドのほうが楽だなと感じるかも知れません。
質問 落とすことがないですからね。
山本 そうなんです。PCやアカウントを守るほうが総合的には簡単で、USB メモリみたいにぽろぽろ落とすことはありません。コンプライアンス的には、ぽろっと1つこぼれたら即アウトになるので、そういう視点では、クラウドのほうが管理しやすい場面も出てくると思います。
質問 PCやスマホの紛失とすると、応急措置としてできることには、どんなことがありますか?
山本 落としたものがノートPCとかスマホであるならば、まずはリモートの追跡ですね。別の PCやスマホなどから可能です。ただノート PCは電源が入っていないと、電波がなくて追跡できないと思います。ここが難点なので、私はノートPC本体にAppleのAirTagという製品を貼り付けています。落とし物などを追跡するための製品で、しっかり探知してくれます。あと、大前提として、PCやスマホのパスワードはしっかりしたものにしておきます。
質問 Googleでエアタグと検索すると、いろんな商品が出てきますね。キーホルダー式のエアタグをUSBメモリにつけることもできそうですね。
山本 それも可能だと思います。ただ、「そこまでしてUSB メモリ使うか?」という話に行き着きそうですが。
質問 ウイルス感染などの事故が起きたときに生じる出費について教えてください。
山本 たとえばランサム攻撃に遭ったとすると、町の小さな事務所でも最低数百万円みておく必要があると思います。調査や復旧の費用と、関係者への通知などの対応費用もかかります。調査段階で、影響を受けた可能性のあるPC (LAN内に拡散するので大抵複数台になります)をフォレンジック業者に調べ上げてもらう必要が出てくるのですが、PC1台につき100万円以上かかります。フォレンジックは専門技術であり、大変な作業になるので、費用も高いです。 ちなみに大企業だと億単位の被害になります。
質問 そのような費用をカバーする保険はありますか?
山本 情報漏洩やウイルス感染の対応費用は、サイバー保険の対象になります。弁護士賠償責任保険でもオプションでつけることができるはずです。年間数万円程度と思います。これは入っておいたほうがよいのではないかと思っています。というのは、この種の保険は、大抵、実際の事故が起きたときの相談窓口がサービスでついてきます。事故時の対応というのは重要で難しい課題ですが、そこを初動で電話して尋ねる先も作れることになります。ここだけでもありがたみがあるんじゃないかと思います。
質問 漏洩事故に関して、ほかに何か知っておくべきことはありますか。
山本 インターネット上に間違ってデータを一般公開してしまうパターンは、強く警戒しておく必要があります。かつて、刑事事件の弁護団が使っていたメーリングリストがネット上で誰からでも見える状態になっていたという大事故がありましたが、この種のことが起きると全ての関係者に甚大な影響が及びますので、絶対避けなければなりません。弁護士はこの点を特に気をつけたほうがよい業種だと思います。情報の機密性もそうですが、事務所外の弁護士や依頼者と連携するなど、外部の人とデータ共有する場面が結構あり、これがミスの機会になったりします。あとは、ビジネスアカウントを使ってもらったほうがよいです(※22)。ビジネスアカウントだと大抵は情報の公開を制限できるのですが、個人アカウントだとそれができません。
質問 情報を扱うツールとしては、ビジネス向けのものを選ぶというマインドですね。
山本 そうですね。個人向けのツールはデータを気軽に公開できるような機構を載せていることがあります。大きな目安として、個人向けアカウ ントはリスクが高くなりやすい、ビジネスアカ ウントだと管理機能がしっかりしており、安全性が上がりやすいということは言えます。
5.「取扱方法」の定め方
質問 日弁連の規程で作成が義務付けされた「基本的な取扱方法」には、ここで教えて頂いたことを全て盛り込む必要がありますか?
山本 細かくたくさん書くほど偉いという話ではなく、実質が大事だと思います。「〇〇という書 き方だと弁護士情報セキュリティ規程に違反しませんか」という観点の話でいくと、同規程は相当程度抽象化されていますので、文書化したものを備え置いてあって一定水準の対策が書いてある場合、それが「規程違反」ということにはそう滅多なことではならないはずです。むしろ、自分たちとして、どのように実践していくかが大事になると思います。私自身の考えでは、「基本的な取扱方法」(やや固め)+「運用ガイド」(やわらかく実践的)のようにして、実践レベルで使いやすい文書とセットにする方がよいのではないかと考えています。というのは、「基本的な取扱方法」は会規で作るべき文書であるため、やや手堅く作りたい心理が働きそうなのと、頻繁に改訂することもしにくくなりそうです。「基本的な取扱方法」単体で無理に全てをやろうとすると、「読んでも分からない→実行できない」とか「変更しにくい」 といった実質的なマイナスが出そうに思います。実は私自身も、せっかくだからということで、規程の成立した2022年6月10日に事務所の「基本的な取扱方法」を作りました。まず、文章はですます調にしました。自分たちのものなので、読みやすくしたかったからです。そして、「基本的な取扱方法」自体はやや理念・原則寄りの話を多くしました。その上で、別途、IT周りの運用を書いたマニュアル的なもの(枚数多め)、更にその要点メモ(2枚くらい)というのを作成しました。
質問 今後日弁連から公表される予定のサンプルをそのまま適用する、採用するという人がある程度はいらっしゃると思うんですけれども、その場合の問題点というのは、今おっしゃったよう に、実践を伴わないものになりうるということですか?
山本 ある種極端な想定として、「本当にサンプルをそのまま丸々コピーする、書かれていることの意味は分かっていない、自分たちの現状の振り返りもしない」、となってしまうと、実践に はなかなかつながらないと思います。私自身は、ボトムアップ的に小さく取り組むことを今から始めたほうがよいと思っています。たとえば、「セキュリティ覚書」みたいなものを、箇条書で1枚、2枚からでよいので作ります。表現に凝らなければ、これだけでも結構な情報量が入ります。これで現状や問題を言語化してみて、改善点が無いかを考え、望ましいやり方を整理する作業をおこなうといったイメージです。
質問 取扱い方法はできるだけシンプルなものにしておきたいのですが、その場合のデメリットはありますか?
山本 あまりにも薄いと、規程に違反していると見られるおそれはありますが、そうは言っても、あまりにスカスカでなければ大丈夫だと理解しています。別文書も作りうるということを前提 に、中身のある運用をするために役立つものを作るのがよいと思います。また、記述の抽象度 を上げることでシンプルになる場合もあると思います。なお、一般論として、事務所は多様だからセキュリティ対策も一概に言えないということは言えます。他方で、IT周りに限定すると、た とえば「クラウドに事件記録を預けているときは、そのアカウントに二要素認証をかける」 「ウイルス対策ソフト(※23)を有効にしておく」などといった対策は、法律事務所であればほぼ常に有効かつ期待される水準の対策だとは思っています(私見です)。このあたりは、基本的な取扱方法の中でなくてもよいですが、どこでルール化して、実行してもらうほうがよいと思います。
質問 今、国の動きなどを確認しているんですけれども、IPA (独立行政法人情報処理推進センター)という組織などがいろんな経営セキュリティのガイドラインとかをつくっています。そういうのを参考にできないかなと思ったのです が。
山本 はい。もちろん参考にできると思います。総務省や内閣サイバーセキュリティセンターなどからも、ガイドラインのような文書が複数出ています。ただ、若干の注意点はあります。企業を前提にしている、人数の多い組織を前提にしている、やや教科書的な総花的記載になっている事件記録の管理にぴたっとはまらない、などの場合があり、町の法律事務所でピンと来ない記載も結構あるかもしれません。ちなみに企業だと、経営層・システム部門・一般社員という3者があり、セキュリティ的にもそれぞれ役割が違うわけですが、町の法律事務所だとこのあた り一体になっていることが多いと思います。このあたりも前提のズレになりうるので注意が必要なところです。
※1 メールの差出人名は自由に設定できるので、差出人名の詐称は極めて簡単であることに注意してください。手紙の差出人名を (その気になれば)好きに書けるのと同じようなものです。
※2 組織のネットワークに外から入り込んで、データを暗号化したり盗み出したりした上、回復と引き換えに身代金を要求するというタイプの攻撃です(金銭目的の行為です)。現代では非常に大きな問題となっています。法律事務所でも被害例があります。人間がマニュアルオペレーションでやることも多いので、「ランサム攻撃」と呼ぶほうがよいという指摘もあります。
※3 信頼できる機器を選ぶことと、VPNのソフトウェアのアップデートを行うことが重要です。VPNの利用はそれなりのリスクを伴いますので、信頼できる業者を選んでよく相談することをお勧めします。
※4 アプリを起動してそこからカメラを使うと、アプリだけに写真が残り、ギャラリーに写真が残らないようにできることが多いです。
※5 クラウドを使っている前提でバックアップをどうするかはやや難しい問題です。所内に大体データが残る体制であれば、クラウド自体が、バックアップみたいなものと捉えることもできます。一方、クラウドにしかほぼデータが無いという場合には、クラウドサービスのデータをバックアップすることも視野に入ります。ただ大手のクラウドサービスであれば、それ自身が何重にもバックアップを取って運営されていることも多く (たとえばクラウドサービス側で何か問題が起きたとしても、復旧を合理的に期待できる)、この場合に、そもそも別途のバックアップ自体が不要だという考え方も存在します。
※6 結局短いパスワード・簡単なパスワードを使う、同じパスワードを使う、なども予想されるので、「手動であらゆるファイルにパスワード付加」というのは、実効的なレベルでは実現しないように思えます。
※7 山本は『弁護革命』に「上乗せロック」という名前で、このような透過的な暗号機能を付けました。個々の価値判断によるところですが、弁護士という職業においては、「ここ関連の情報については、クラウドサービス事業者にも一切データを読ませない」 という決断は十分ありうると思います。こういう場面も支援できるようにしたいと考えました。
※8 そもそも論として、メ ールをできるだけ減らし、かわりにビジネスチャットを使う方がリスクが下がります。特に、所内の連絡を日常的にメールでおこなうことは高リスクであり、お勧めしにくいと山本は考えます。所内連絡については、ビジネスチャットへの移行を検討したほうがよいと思います。
※9 誤送信防止を目的にしたサービス群もあり、本当はこれを使えると効果的です。法人向けが大半のようなのですが、町の法律事務所で利用しやすいものがないか、現在調査しています。
※10 Gmailを業務でメインのメールアドレスとして使う場合には、個人アカウント(@gmail.com)ではなく、ビジネスアカウント (Google Workspaceという名前で検索してみてください)を優先的に検討したほうがよいです。
※11 ログインを安全にすることは重要です。全員がアカウントに二要素認証をかけておくというのが、簡単で実効性のある対策だと思います。
※12 日本弁護士連合会弁護士倫理委員会編著『解説 弁護士職務基本規程』(第3版、2017年)60頁を参照しました(議決本文は未確認)。
※13 弁護士情報セキュリティ規程は、こうした情報の公開可否の範囲を変更するものとはなっていませんので(従来適法であった公開行為が、情報セキュリティ規程によって違法となるような事態は想定されていない)、その点念のために補足しておきます。
※14 11月号でテレワークの形態を紹介していますので、ご参照ください。
※15 完全にオフラインで持つというのが一つの分かりやすいやり方です。もう少し活用性を上げようとすると、アクセス権の設定などで、読める人や端末を限定したりといった工夫になります。日常と同じ方法で、過去の全てのデータを誰もが自由に読める形は、かなりリスクが高いと思います。
※16 紛失時の防御層の1つになるため、持ち歩くノートPCであれば適用しておくほうが安全です。MacではFilevaultという機能です。
※17 一般的な注意点ですが、参加者が機密性の保たれた空間(事務所内など)から参加するということも必要になります。
※18 サービス提供者にデータが読めないようになります。著名サービスでもオプションなどで適用できることが多いです。
※19 個人情報保護法26条1項により、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。」とされます(更に、個人情報の保護に関する法律施行規則参照)。同条2項により本人(個人情報の主体)への通知も義務化されました。個人情報保護法ガイドラインでは、診療情報の入ったUSB.メモリの紛失を報告義務のある例に挙げています。
※20 個人情報の保護に関する法律施行令2条参照。
※21「高度な暗号化」などの除外事由があります(個人情報の保護に関する法律施行規則7条1号参照)。ただし、ガイドラインなどでも具体化されておらず、どのような場合が「高度な暗号化」に該当するか、はっきりしません。山本の感覚では、USBメモリであれば、組み込みの暗号化機能があるもので(=信頼できるアルゴリズムとしてAES256bitなどで媒体全体が暗号化されること)、かつ、パスワードを15文字程度は確保したい(=総当たりできない強度であること)気がします。
※22 クラウドサービスには、ビジネスアカウントというものが準備されていることが多いです。「企業として契約して従業員にアカウントを配る」「管理をきちんときかせる」といったニーズに対 応したものです。管理者の設定により、データを一般公開することをそもそも禁止できたりもしますので、通常はビジネスアカウントの利用を検討すべきと思います。
※23 Windows Defenderで一応足りますので、高価なものが必須だという話ではありません。
本記事は、月刊大阪弁護士会2022年11月号「会員お役立ち情報 第4回 情報セキュリティ ~対応編」を掲載したものです。
上記記事について、「同誌掲載記事の執筆者や同誌掲載インタビューの対象者が自ら発行する書籍・雑誌等の媒体、及び同人が自ら管理するホームページ・ブログ等に転載可能」であることにつき、大阪弁護士会に確認済みです。
この記事を書いた人
いま頑張っていること
この記事が気に入ったらサポートをしてみませんか?