2015/06/14

リスクマネジメント


① 年金機構から受給者(および被保険者?)の個人情報がまとめて大量に「流出」したという。
きっかけが何らかのソフトウェア事故によるものであったか、徹頭徹尾マルウェアによる転送・複写なのか、当局がテクニカルな顛末を詳らかに公開するわけがないから、仔細は分からない。
ただ、何にしてもこれらの個人情報は犯罪集団の側に渡ってしまう、あるいは既に渡ってしまっただろう。
まことに遺憾でありんす、まったくもってイカンぞ、イカンやん。

この犯罪集団の狙いは、「大量の」個人情報を極めて短期間のうちに「一斉に」悪用することに決まっている。
チョボチョボと詐欺メールなど送っていてはリターンが極少であり、自分たちが挙げられるリスクの方が大きくなるからである。
要するに、リスクの本質は、悪意のある人間集団による 「大量」 かつ 「一斉」 の詐欺。 

そこで、ふと思いついたこと。
世界共通ルールとして、業種の如何を問わず、「ある一定数」以上の異なった宛先への同時データ配信、電話アクセス、郵送を規制すればよろし。
たとえばだが、如何なる業種間であろうと個人間であろうと、異なった宛先配信は1日に1000件を上限とするなど。
これにより、たとえ犯罪集団がこんご1000万件の個人情報を盗み出したとしても、それらすべてを詐欺に悪用するのに最低1万日(=27年以上)かかることになり、「大量」かつ「一斉」の悪用メリットを活かせず、宝の持ち腐れのまま(笑)。
それでも、長期にわたって詐欺を続けている連中がいるとしたら。
そいつらの方が年金機構よりも大量のデータマネジメント能力に優っているというわけで、むしろ信用してやったらいいような気もする (冗談だよ)。

いやいや、こんな宛先/回数規制をおいたら、行政上の通知通達が出来なくなっちゃうじゃないか ─ というのだろうが、もちろん政府機関や大手金融保険などは例外とする。
そういう公的機関や大手金融保険「以外」の某かが、「大量」かつ「一斉」のトランザクションを起こしたら、きっとそいつがワル、でなければ、公的機関や大手金融保険そのものがワルだということでしょ。

======================================================

② さて、もうひとつのリスクは、量としてではなく、それぞれの個人情報そのものの複製、改ざんなどの可能性。
もともと、如何なるデータでもひとたび電子化されれば、いかなるセキュリティで保全しようともいつか必ず複製され改ざんされること、コンピュータ出現とともに謂われてきたこと。
だいたい、個人情報レコードを特定のセキュリティシステムで総括的に保全する、という考え方が間違っている……それつまり、特定のサイバー攻撃で一気に破られうるということではないか。
セキュリティソフト会社の関係者だって、論理的には同旨のことを認めている。

しょうがない、これらの個人情報レコードが「盗まれる」ことは百も承知の上、ゲートウェイやルータなど様々なエンティティにおいてフィルタリングしても、やっぱり盗られちゃうとの前提をおいてみる。
その上で。
運用当局としては、「真」の個人情報レコードに加え、たとえば架空の住所番地や氏名などから成る「デタラメな」ダミーデータを100件くらいおり混ぜておく (もちろん本人はどれがホンモノか分かっている) ─ といった形態で個人情報レコードを運用管理したらどうかな?
デタラメなデータの生成や保管くらい、わけないでしょう。
たとえば、「山本拓」 のマイナンバーがデタラメ番号とゴチャ混ぜで100件、氏名そのものも架空の名前を混ぜて100件、住所もデタラメごちゃ混ぜこぜで100件、学歴も勤務先も電話もメールもみんなデタラメ混ぜて100件づつ、といった按配だ。

これらの個人情報レコードをわんさかと 「盗んだ」 奴らが、正真正銘の悪事に活かすためには、どのデータの組み合わせがホンモノの個人情報レコードか識別する必要がある。
彼らはデタラメのメールや電話にアクセスしつつ、公的機関にも照会を続けるかもしれない。
そんなこんなで必死に数万件以上の真偽を確認しているうちに、おのれの所業がバレてしまうのではないかな。 

=====================================================

③ ところで。
官公庁によれば、「リスク管理を官から民へ委ねる」、という言質があるが、これは実に妙な論理である。
そもそも、リスクというものは、「その資産や情報の当事者」が自身の能力や判断に沿って設定する何らかの閾値である。
「我々からあいつらへ」と当事者が異なった場合、その「あいつら」が同じリスク判断に則ることはあまりなさそうな気がする。

官公庁による民間へのリスク移管とは、じっさいには 「我々が見倣すリスクマネジメントのコスト」 を庶民のあいつらに委ねる、との意だろう。
だったら ─ それを押し付けられた庶民の「あいつら」は、おのれ自身のコスト判断に則って、「リスクはゼロ」とおいてもよかろうな。
それで何かことがおこっても、リスク判断責任など負う必要はないじゃないか。
(半ば冗談だよ笑)

以上