顧客や従業員を守り、企業のブランド価値を高める――韓国の最新事情から見る、データ保護の必要性：暗号化が「DX、デジタル社会」を支える

数々の情報漏えい事故を受け、日本国内でも徐々にセキュリティ対策の必要性が認識され始めたが、歩みはまだ遅い。一歩早く、罰則規定も含む厳しい個人情報保護規制を行い、国を挙げて対策を進めている韓国では、どのような考え方で取り組んでいるのだろうか。

[PR／＠IT]

PR

　連日のように情報漏えいに関するニュースが報道されている。データを適切に保護することは、もはやセキュリティ担当者だけでなく、多くの人の関心事となりつつある。日本でも法規制の整備などは進みつつあるが、まだ道半ばといった印象だ。一方、韓国では国を挙げてデータ保護対策を進めており、社会的にもその取り組みの必要性、重要性が認識されているという。この違いはどこから来るのか。

　韓国に本社を置くペンタセキュリティシステムズの美濃部 崇氏（セキュリティコンサルティング部　プリンシパルセキュリティコンサルタント、CISSP＜Certified Information Systems Security Professional＞認定者）と、韓国有数の総合大学である国民大学校のユ・イルソン氏（情報セキュリティ暗号数学科　金融情報セキュリティ学科　教授）に韓国の最新事情を尋ねた。

社会的な合意の下、データ保護に関する法規制を強化してきた韓国

――最近は情報漏えい問題が頻発していますが、ITセキュリティ製品を提供する企業として、現状についてどのように考えていますか？

美濃部氏　日本ではここ10年ほど情報漏えい事件が頻繁に報道されるようになり、一般の方も「自分のデータが漏れているのではないか？」と危機感を持つようになってきました。振り返ってみると、日本のITシステムはまず安定稼働させることが第一に求められ、セキュリティは後回しになってきたように思いますが、韓国の事情は異なるように見受けられます。

ペンタセキュリティシステムズの美濃部 崇氏

ユ氏　韓国では昔から、2つの側面でデータ保護の重要性が認識されてきました。

　1つ目は個人情報の側面です。韓国はブロードバンド接続が普及しており、早くからSNSが活用されています。それ故、個人情報の流出事故も頻発し、国民一人一人が「自分の個人データが流出してしまう懸念」を身近に感じてきました。この結果、データ保護の必要性について社会的な合意が形成され、国レベルで個人情報保護に関する法規制が強化されています。

　2つ目は民間企業などの組織や公共機関に関する側面です。企業が顧客の個人情報を収集する際には個々人に承認を得ることが大前提ですし、その後その情報を保管、活用する場合にもきちんと安全性を確保することが前提となり、法規制でもそれを求めています。

　民間企業の場合、機密情報や知的財産の保護も重要なポイントです。例えば自動車製造のHyundai（ヒョンデ）から製品図面が流出したり、Samsung Electronics（サムスン電子）の半導体技術情報が漏えいしたりしたら大打撃ですよね。民間企業では、先端技術に関する機密情報の保護も組織的な課題となっており、世界でも最先端レベルの技術を取り入れてデータ保護に取り組む動きが進んでいます。

　国家や公共機関でも同様の動きがあります。特に韓国は、北朝鮮と隣り合っているという地政学的な条件もあり、さまざまな手法を取り入れたサイバー攻撃のターゲットになっています。つい最近も、海外からの攻撃を受けて情報が流出してしまった事件が起こりました。

　民間企業や公的組織が持つデータの漏えいは、その組織に対する信頼を損なうだけでなく、最高責任者の信頼も損なうことになります。こうした懸念から韓国では、昔からデータ保護を推進し、個人情報保護法をはじめとする法制度の整備に継続的に取り組むとともに、データ保護のために最先端の技術を開発、導入し、運用してきました。

国民大学校のユ・イルソン氏

――外部からのサイバー攻撃だけでなく、内部関係者の過失や不正による漏えいも発生しているのでしょうか？

ユ氏　正確な統計はありませんが、内部関係者による情報漏えいには2つのパターンがあると思います。1つ目は、従業員やアウトソーシング先が悪意を持って盗み出すケースです。

　2つ目は不注意によって漏えいの起点になってしまうケースです。よくあるのは、フィッシングメールを受け取った従業員がうっかりそのリンクをクリックしてしまい、ネットワーク内部にウイルスをばらまくことになり、攻撃者に情報を持ち出されてしまうパターンです。従業員が数千人もいれば、1人か2人は不注意によってそれをクリックしてしまうかもしれません。こうした「ソーシャルエンジニアリング攻撃」は、内部関係者による漏えいと外部からの攻撃を融合させたものといえるでしょう。

豪雨のような個人情報の漏えい、自殺者が出て大きな社会問題に

――日本でも、不正アクセス禁止法や個人情報保護法といった法律が定められ、状況に合わせて改正されてきています。先ほど、韓国では「社会的な合意が形成されて」とお話しされていましたが、具体的に何が異なるのでしょうか？

ユ氏　個人情報の重要性については、日本も韓国も同じように認識されていると思います。ただ、その脅威をどれだけ身近に感じるかの度合いとなると差があるかもしれません。

　例えばゲリラ豪雨が来たときには誰もが傘を差します。しかしそこまでではなく、しとしとと雨が降っているようなときには、傘を差す人もいれば差さない人もいるでしょう。韓国では、豪雨のように個人情報の漏えい事件が頻発した時期があり、自殺者も出て大きな社会問題に発展しました。このため、誰もが「傘を差さなければならない」と認識しています。

　一方日本は、韓国に比べるとまだ“そこまで雨は降っていない”状況です。このため、自らデータ保護に取り組んでいる人もいれば、それほど危機感を覚えていない人もいるという状況だと思います。

　ただ、日本でも今では新たなITサービスが生まれ、SNSも活発に利用されています。ということは、タイミングこそ違えど、韓国と同じような状況が日本でも起こると予測されます。被害が発生してから何か対策するのではなく、先手を打って今から準備し、被害者を生まないことが、社会として取り組むべきことではないでしょうか。

政府主導で今後強化すべき新たな先端技術を選定し、産官学が連携

――法制度面での取り組みに加え、“産官学”の連携も進んでいると聞きます。具体的にはどのように取り組んでいるのでしょうか？

ユ氏　日本でも産学連携が進んでいると思いますが、韓国では“産”と“学”だけでなく“官”、つまり政府主導で今後強化すべき新たな先端技術を選定し、国としてどういった方向性を目指すのかを示してきました。その方針に基づいて予算を配分し、産と学、そして研究の「研」で構成したコンソーシアムが研究課題に取り組み、成果を残していくパターンが多くあります。産学だけではなく、官、研、産、学という4つの要素が連携し、社会から必要とされる新たな技術に取り組んでいます。

　私もこうした取り組みを通して研究を進め、多くの論文を執筆してきました。また、韓国政府の科学技術情報通信部の「5Gセキュリティ協議会」の技術分科会でリーダーを務め、産、学、研などあらゆる分野の人材が集まり、解決の方向性を模索しています。一例として、KTやSK Telecom、LG U+といったモバイルキャリアの5G基地局を調査し、サイバーセキュリティ的に安全に運用されているかどうかを点検し、キャリア側にフィードバックするといった形で知見を活用し、社会的にも貢献しています。

　産学連携の別の形として、私が所属する国民大学校と韓国のペンタセキュリティシステムズとの間でMoU（覚書）を締結しました。目的は、人材育成と最先端セキュリティ技術の開発の2つです。

　人材育成面では、大学内に共同研究室を設立し、インターンシップで共に研究に取り組んでいます。これには「より優れた学生を育成でき、研究力の向上につながる」という意味で大学としても恩恵がありますが、企業側にも専門的な人材を確保でき、最先端技術を共同で研究して活用できるメリットがあり、双方にとって良い協力関係だと思っています。

工事現場の従業員にヘルメットを与えない企業はあるのか？

――韓国の現状、事例を踏まえて、日本がDX（デジタルトランスフォーメーション）を推進するに当たって必要なことは何だと思いますか？

ユ氏　データ保護に関する法規制は、何かに制約をかけたり、犠牲にしたりするものではなく、「新たな価値を生むためのものだ」というように、皆さんの考え方を転換することだと思います。

　例えば企業がデータ保護に向けた対策を講じることで、その企業に個人情報を預けている顧客は安心できます。企業に対する信頼感も増すでしょう。働く従業員にとっても、自分が開発した知的財産やコンテンツの価値を認めてもらい、保護してもらうことで、やはり信頼感が増します。その企業の協力会社も同様です。信頼感は目には見えないものですが、企業のブランド価値をアップさせ、おのずと企業の競争力を高めてくれます。これだけでも、データ保護は制約ではないことが分かると思います。

　また、先に内部関係者のミスや不注意によって情報漏えいが起こり得る可能性について触れました。逆に言えば、データ管理に携わる従業員としては「自分のせいで情報漏えいが起きるのではないか」と不安でたまらないはずです。そこで企業側がきちんと、暗号化やアクセス制御といったデータ保護の対策を講じることで、仮にミスがあっても従業員を守ることができます。工事現場で事故を防ぐためにヘルメットや安全靴、作業服を着るのと同様に、産業災害を防ぎ、従業員を守る施策の一つとして、データ保護に前向きに取り組まなければならないと思います。

　そして、保護することでそのデータの信頼性が高まり、新たな活用法が生まれます。例えば医療の分野ではリモート診療が注目されていますが、従来の紙のカルテに頼っていては困難でしょう。データを保護し、安全性を確立することによって初めて、新たなビジネスのスタートラインに立つことができます。

美濃部氏　官公庁や機密情報を扱う企業などでデータ保護対策ソリューションが採用されるなど、暗号化への注目は集まりつつあります。ですが、日本の社会全体で見ると、暗号化は「セキュリティ対策の一つ」という位置付けにとどまっており、「ITシステムの必然的な措置」にはなっていません。しかし、日本は「DX、デジタル社会」の転換期にありますので、今後データ保護に対する要求のさらなる高まりが予想されます。ペンタセキュリティシステムズはデータベース暗号製品「D'Amo」を通して日本のお客さまの期待に応えていきたいと考えています。