システムに携わる者としてOmiaiの画像大量流出について思うこと

予め言っておきますと、誰かを非難をするつもりはなく、デジタル活用がより抵抗なく利用されるものになって欲しいため書いています。

1.画像流出を０にすることは不可能

理想は流出を０にしたいですが、会員登録など個人情報をサービス提供側に登録する場合は、どうしてもインターネットを経由しなければならないため流出のリスクが生じます。

もちろん、サービス提供側も画像格納サーバを暗号化するなどセキュリティ対策の努力が必要です。

それと同時に、私達利用者も流出のリスクがあると知った上でサービスを利用する必要があります。

論点はずれますが、間違ってもフリーWifiに接続した上で、会員登録などをしてはいけません。

2.論点は"大量"流出の対応をしたか

流出を０にすることが難しいので、画像が流出したとしても少量になるように対策する必要があります。

少量であれば、クラッカーにとって魅力的な攻撃先ではなくなるので、攻撃されない可能性が高まります。

対応方法としては大きく２つあると思います。（暗号化は当たり前過ぎて省略）

　2-1.保存期間

保存期間を短くすれば、所持する数が減るので流出する数が減ります。

Omiaiの場合、10年間保存する方針だったため、サービス提供開始（2012年）から全ての画像を所持していたことになります。

年齢確認にしか利用しない画像を、１０年という長期間保持する必要があったか、見直しが必要です。

一方で、金融機関は口座廃止から７年間、本人確認書類を保持しないといけないような、法律で長期間の保存を義務付けられている場合もあります。

その場合は、どこに保存するかが大事になります。

　2-2.保存場所

審査が完了した画像は、直ちにオフライン上で保存するべきです。

仮に日次でオフラインストレージへの移動を行えば、サーバ攻撃によって流出する画像は１日分の申請画像になります。

Omiaiを利用したこと無いのでそうした機能があるか不明ですが、会員が自分でアップロードした画像を見返すことは無いと思うので、アップロード画像を確認する機能は不要のはずです。

つまり、オンライン上に置く必要がある画像は少量で済んだでしょう。

社員が持ち出すリスク〜みたいなことを目にしたことありますが、それは紙の場合も同じで、デジタルに限った話ではないので、関係ない指摘だと思います。

3.まとめ

世界でデジタル化が進められており、この流れは止められないでしょう。

直接売上に関わらないですが、サービス提供側はセキュリティ対策をより一層検討する必要がありそうです。

また、車とかと同じように、利用者側の私達もいつかは事故に合う可能性があることを理解しておく必要があるかもしれません。

※余談

デジタル庁が何をするのか不明ですが、免許証といった本人確認情報はデジタル庁が一律データを保持して、サービス提供側がAPIで年齢確認などの確認をするような時代が来るのでしょうか。