「IoT機器は生活のデータが取れる!」と思ったときに考えるべきこと:宮田健の「セキュリティの道も一歩から」(42)(2/2 ページ)
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け! 今回は、IoT機器を開発・企画するエンジニアに、利用者の目線で「プライバシー」を考えた製品を作ってください、というお願いです。
早め、早めに情報を集めよう
冒頭、EUにおける「GDPR」、APECにおける「CBPR認証」、中国における「中国サイバーセキュリティ法」を紹介しました。実はこれ以外の地域、国ごとにも同様のプライバシー関連法案/データ越境の規則が次々と登場しています。これらの存在を知らないまま世界に製品が展開され、個人情報に関して世界基準のルールに達していなかった場合、巨額の制裁金が課せられる可能性があります。
また、GDPRは運用からしばらくの時間が経っていることもあり、いくつかの事例も明らかになりつつあります。航空大手のブリティッシュ・エアウェイズ(BA)の事例はサイバー攻撃が原因であり、理解しやすい事例かもしれませんが、ホテル大手のマリオットの事例は、サイバー攻撃にてデータ漏えいを起こしていたスターウッドホテルを、その事実を認識しないまま買収し、その際にデータ保護状況を調査していなかったことが、GDPR違反の理由とされました。そしてデンマークのタクシー会社、Taxa 4x35は、登録後2年以上経過した、本来削除すべきデータを「氏名、住所以外保持していた」ことにより、数千万円の制裁金が課せられたことにも注目です。
British AirwaysにGDPR侵害で約250億円の制裁金 個人情報流出で - ITmedia NEWS
Marriott InternationalにGDPR侵害で約135億円の制裁金 個人情報流出で - ITmedia NEWS
デンマーク監督機関がGDPR5条違反でタクシー会社に制裁金を勧告 | IIJ Business Risk Management Portal
おそらく、今後も多数の事例が登場してくるでしょう。これらの情報を押さえ、自社にも同様のリスクがないかをウオッチすることも重要です。
まとめ
多くの場合、開発者と“法務”はやや遠い位置にいるかと思います。プライバシーに関する世界各国の規則は、専門家がいなければ判断が非常に難しいというのが現状です。そのため、開発者はリスクを大きめに考え、安全側に倒すことが重要かもしれません。その意味では「勝手に使っていい個人情報はない」と考えるべきでしょう。
IoT機器はセンサーの塊であり、倫理観なく考えれば、ありとあらゆる利用者の情報が取れるかもしれません。しかし、それを「利用規約に全部使っていいと記したから利用可能」と考えるのは非常に危険です。倫理観なきサービスを作らないためには、企画段階でしっかりとブレーキを踏める人がいるかどうかがポイントになるでしょう。その役割は、あなたにもあるはずです。
また、こういったルールはもしかしたら“GAFA”と呼ばれるような外資系の超大企業を締め付けるためだけのもの、と考えるのも危険です。Google、Apple、Facebook、Amazonなどの企業は大手ゆえに常に世間の厳しい目があるため、プライバシーに関して一定のレベルの機能は既にあり、とんでもないサービスはそうそう出てきません。むしろ、日本国内の企業で作られるサービスの方が、プライバシー軽視という意味では恐ろしく、決して対岸の火事ではありません。
近い将来、プライバシー重視は立派な「IoTの機能」として認知されるはずです。そうなる前に、皆さんもぜひ、プライバシーに強くなってほしいと思います。(次回に続く)
◎併せて読みたいお薦めホワイトペーパー:
» WannaCryが明らかにした、生産システムセキュリティ「2つの問題点」と「2つの対応策」
著者紹介:
宮田健(みやた たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!<漫画キャラで学ぶ大人のビジネス教養シリーズ>』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる本です。
筆者より:TechFactoryでの本連載では、ITセキュリティの「あるべき論」「正論」だけでなく、モノづくりに携わる方たちに「気楽に」「楽しく」セキュリティを考えていただけるように、さまざまな話題を取り上げたいと思います。「セキュリティっていわれてもねえ……」と思わず考えてしまった皆さまに覚えていただけるようなコラムにしたいと思います。お楽しみに!
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「脆弱性検索エンジン」が必要な理由は
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け! 今回は、ネットに接続された端末機器がセキュリティ的にどのような状況に置かれているかを考えてみます。
デジタルカメラの脆弱性から「IoTデバイスの守り方」を考える
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け! 今回は、先日報道のあった「デジタルカメラの脆弱性」の事象から、IoT機器の製造に携わる人が学ぶべきものを探っていきます。
IoTデバイスを作るなら必見「IoTセキュリティチェックリスト」
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け! 今回は、「IoTあるある」的陥りやすいセキュリティリスクを事前に知るために必見の「IoTセキュリティチェックリスト」を紹介します。
崩れ始めた“安全神話”、これからの工場に必要なサイバー攻撃対策とは?
「スマートファクトリー」や「Connected Industries」は、製造業において避けては通れない。そのためには情報系システムなどとの接続が必要だが、マルウェア感染や脆弱性を突く攻撃のリスクも高まる。工場の安全神話は、もはや過去の話だ。
「脆弱性の自動分析」と「デバイス固有のエージェント」がIoT機器の世界を守る
いま、「IoT機器」がサイバー攻撃者に狙われている。この脅威への対策としては、設計時からセキュリティを組み込んでそもそもの脆弱性をなくすこと、さらには攻撃を受けたとしても被害拡大を防ぐ根本的な仕組みを取り入れることだが、具体的にどのようなことを行うべきかはなかなか浸透していない。“IoT機器の脅威を根本から取り除く仕組みを取り入れる”ための対策とは?
製造現場で比重増すソフトウェア、企業リスクになり得る脆弱性をどう把握するか
ものづくりにおけるソフトウェアの重要性が増す中、ソフトウェアに脆弱性がないかどうかを速やかに確認し、適切に対処することは製造者の責務になる。その管理作業を効率的に進めるすべはないだろうか。