禁錮4年も？実は違反すると結構大変なマイナンバー制の恐ろしさ

　このように「適切なデータ管理」「アクセス権の管理」「利用履歴の保存」などをしっかり行っておけば、仮に何か問題が起こった場合でも、組織としての管理責任を免れる可能性は高いのです。

–ベネッセが組織としての責任をほとんど追及されていなかったことは、あまり知られていない事実です。ところで、責任を回避できた原因であるオーディタビリティについて説明してください。

坂本　問題の原因や経路を確認できることを、「オーディタビリティがある」といいます。

–大企業であればオーディタビリティを整えることができると思いますが、中小企業ではコスト面も含めて取り組むのが難しいのではないでしょうか。

坂本　クラウドを活用することでリスクを最小限にし、低コストで運用することができます。多くの企業が、いまだに社内のパソコンやサーバで個人情報を管理しています。ローカル、つまり社内にあるパソコンやサーバに保存しておけば安心という考えからでしょうが、ところが今やローカルでの情報管理が最もリスクが高いのです。事実、最近の情報漏洩事件のほとんどが、ローカルからの流出です。日本では「クラウドはセキュリティが不安」「データがなくならないか不安」という話をよく聞きますが、実際にはクラウドのほうがローカルよりもはるかにセキュリティが高い管理をすることが可能です。

情報管理はクラウドがもっとも安全？

–年金機構の情報漏洩もありましたが、それは中国からのサイバー攻撃だとの見方もありますね。

坂本　中国からとは断定できません。攻撃者は自分を特定されないように複数のサーバを経由して攻撃するのが定石です。特に中国のサーバは脆弱なものが多いため、“踏み台サーバ”として使用された可能性もあります。

　最近では、データセンターを狙うのは攻撃者にとって割に合わない方法となっています。データセンターには、攻撃者を攻撃するプログラムが装備されていることを攻撃者も知っているため、犯罪のプロはデータセンターを狙わないのです。

　これは最近、銀行強盗を見かけなくなったことに似ています。銀行強盗がなくなる代わりに、銀行からお金を引き出すことができる人（主に騙しやすい老人）を狙った詐欺が増えています。同様に、データセンターへの攻撃の代わりに、脆弱な個人のパソコンを狙って大量のスパムメールを送り、ウィルスに感染させて乗っ取ります。そしてパソコン内にある重要情報を抜き取る事件が多くなっています。年金機構もこのパターンです。