【外交・安保取材の現場から】サイバー戦争はすでに始まっている 個人情報保護が安全保障を脅かす 日本はどう考えるのか
「国の安全保障に個人情報保護という文字はない」-。あるサイバーセキュリティーの専門家は、日本国内のサイバーセキュリティーの現状に対し、危機感を募らせてこう語った。国の安全保障にとって重要なサイバーセキュリティーを強化していく上で、個人情報保護が障害になっているというのだ。
個人情報保護法が施行されたのは平成17年。今年発足した個人情報保護委員会のホームページには、「情報化の急速な進展により、個人の権利利益の侵害の危険性が高まった」と法律制定の背景が記載されている。
一時はオレオレ詐欺が猛威をふるい、さらに手口が巧妙化した振り込め詐欺の被害はいまなお、相次いで発生している。これらは個人情報が悪用された典型例で、個人情報保護の必要性は高まっているとさえいえる。
一方、同法施行以来、個人情報を扱う企業にとっては、個人情報流出が大きなリスクとなり、一度情報漏洩が起きれば企業は信頼を失い、経営にもダメージを与えるようになった。
そのようにして頻繁に耳にするようになった個人情報保護法がサイバーセキュリティーの障害になっているとは、どういうことか。
サイバー犯罪を含むサイバー攻撃の特徴は、インターネットという匿名性の高い空間で行われるため、攻撃者を追跡して特定することが難しく、また、ネット上にはマルウエアと呼ばれる不正プログラムを作製する方法が公開されているため、誰でも低コストで攻撃が仕掛けられる点にある。
サイバー攻撃を防ぐためには、個人、企業、政府機関がそれぞれ防御網を築く必要があるが、攻撃側も手を替え品を替え、新たな攻撃手法を開発してくるため、攻撃側と防御側のいたちごっこが続いている。
その上で、サイバーセキュリティーのレベルを上げ、新たな攻撃に対しても被害を最小限にとどめるためには、「情報共有」が不可欠だ。新たな攻撃が確認されれば、すぐに共有して対策を講じる。それができなければ、同じ攻撃が異なる場所で繰り返されることになり、被害は拡大する。
また、情報共有が十分に進まず、使い古された攻撃がセキュリティーの脆弱な部分を突いて被害が生じるケースも確認されている。
そうしたサイバーセキュリティーにとって欠かせない情報共有を進めていく上で、障害となっているのが個人情報保護法だ。サイバー攻撃を受けた企業にとっては、自らが受けた攻撃について情報提供することはリスクとなり得る。なぜならば、提供する情報に個人情報が含まれ、それが個人のプライバシーに関するものならば、個人情報保護法に抵触するおそれが出てくるからだ。
企業にとっては情報を提供するメリットは少なく、リスクは大きいとさえいえる。こうした状況についてサイバーセキュリティーを担当するある政府関係者は「企業には情報提供の見返りがない。そうなると結局、情報を隠そうとするだけだ」と指摘する。
政府は情報共有を推進するため、さまざまな取り組みを行っている。経済産業省が所管する独立行政法人「情報処理推進機構」(IPA)は「サイバー情報共有イニシアティブ」(J-CSIP)という仕組みをつくり、電力業界などから秘密保持契約を結んだ上で情報を吸い上げ、匿名化した情報を業界の垣根を越えて共有させている。情報共有の仕組みは金融業界にもあり、「金融ISAC」という一般社団法人がその役割を担っている。
それにもかかわらず、サイバーセキュリティーを担当する政府関係者からは「情報共有が進んでいない」という声が漏れてくる。平成27年度に全国の警察に寄せられたサイバー犯罪に関する相談件数が約13万件なのに対し、J-CSIPに集まったのは約1千件で、雲泥の差だ。
もちろん、個人、企業、業界に関係なく相談があり、捜査をした上で犯罪者を摘発することが目的の警察と、特定の業界間で情報共有を行うJ-CSIPの件数を比較するのは妥当とはいえないが、「結局、警察で(情報が)止まっているのだろう」(政府関係者)という見方は政府内にある。
サイバーセキュリティーに関する情報共有の進め方について、海外の事例に目を向けると、米国には政府と企業間の情報共有を促すための法律があり、この法律の最大の特徴は、情報共有を行った企業を訴訟から守る規定を設けていることだ。
この法律をめぐっては、米国内でも人権擁護派から「国民のプライバシーが守られていない」と反対の声が上がったが、最終的にはオバマ大統領も法案に署名した。
サイバー強国の米国は、サイバー上の脅威を国の安全保障の観点から捉える傾向が強く、国家安全保障は個人のプライバシーに優先するとの見方が根強い。
サイバー攻撃は現代の紛争の中ですでに利用され始めている。世界では、陸・海・空・宇宙に続いてサイバー空間は「第5の戦場」と呼ばれている。昨年12月にウクライナで起きた大規模停電はサイバー攻撃によるものだった。サイバー戦争はすでに始まっているのだ。
日本でも最近、防衛省・自衛隊の通信ネットワークがサイバー攻撃を受けたことが明らかになった。ある日本政府の関係者は「日本でこれまでサイバー攻撃が起きると、個人情報流出ばかりに注目が集まるが、これは危険だ。攻撃側は個人情報だけではなく、防衛関連産業や大学などの知的財産も狙っている。これは安全保障に直結する問題だ」と警鐘を鳴らした。
(政治部 大橋拓史)