英国でも格安航空会社イージージェットが20年5月、顧客約900万人の旅行データが漏洩した恐れを公表した。旅行データとは、パスポート情報は含まれず、顧客の氏名やメールアドレス、フライトの出発日時・出発地・目的地だ。ロイター通信(20年5月20日報道)によれば、攻撃者は中国のハッカー集団で、その狙いは経済的なものでなく、特定の個人を追跡するためだという。
日本も無縁ではない。15年5月に日本年金機構から約125万人の個人情報が、16年6月には大手旅行代理店から約793万人分の個人情報が漏洩した可能性が高い。
いずれも中国発のサイバー攻撃とみられているが、攻撃者が2つの組織を狙った理由は明確でない。サイバーセキュリティの専門家らは、中国のサイバー諜報活動を「引き出しの鍵が開いていれば、開けて中身を全部奪う。何に使うかは後で考える」と表現することがある。
企業にサイバーセキュリティの穴があれば、侵入し、盗めるものは全て盗むということだ。中国によるサイバー攻撃全てに明確な目的や動機を見出すことは難しい。
だが、いずれも国民全体を包括するデータや人の移動に係るデータだ。結果的に、諜報活動に使われたとしても不思議ではない。
データ保護で必要となっている「ハイバリューターゲット」という視点
やや特殊な例もある。21年夏、ある出版社のオンライン販売サイトがサイバー攻撃の被害にあい、利用者最大1144人のクレジットカードの名義人氏名、番号、有効期限、セキュリティコードが流出したとみられている。
この出版社は、警察関係の実務書・昇任試験対策書を取り扱い、治安・インテリジェンス関連の専門誌を発行する。つまり情報が漏洩した利用者の多くは警察関係者やこの問題に関心を持つ人々である。本件では攻撃者も狙いも明らかになっていないが、漏洩した個人データの多くは法執行機関関係者などのハイバリューターゲットだ。
企業が保有する個人データの機密度は、クレジットカード情報など経済的機微性と医療・健康情報など精神的機微性から評価されることが多い(詳細は、日本ネットワークセキュリティ協会のEconomic-Privacy Mapを参照)。だが、国家主導のサイバー諜報活動が新常態と化している昨今、「ハイバリューターゲット」を含むかなどの防諜の観点、政治的機微性でのリスク評価も必要だ。
政府主導でデータ窃取という危険性
対象を限定せず一括大量で収集する「バルクデータ」の個人データ窃取という点で、サイバー攻撃よりも効率の良い手法がある。政府機関による民間が保有するデータへの強制的アクセス、いわゆる「ガバメントアクセス」である。
ガバメントアクセスは従来から犯罪捜査の一環としてどの国でも行われてきた。通常、裁判所などが発行する令状を伴う。だが、近年懸念されているのは、諜報活動や産業振興を目的としたガバメントアクセスである。
二つの手法に注意する必要がある。
一つは、外国企業に対して、蓄積される個人データや産業データを自国内に設置することを義務付けたり、データの第三国移転に規制を課したりすることだ。これらは「データローカライゼーション」規制と呼ばれ、欧州の一般データ保護規則(GDPR)、中国のデータセキュリティ法や個人情報保護法が典型である。こうした規制を通じて、データを物理的に自国の法執行権限の管轄下におき、アクセスを確保することができる。
しかし、日本国内にデータがあれば安全ということにもならない。
もう一つの手法は、外国の委託先会社などを通じた「越境アクセス」である。21年3月に大手コミュニケーションアプリの中国関連会社が業務の一環で日本国内に保管されたデータにアクセスしていたことが報じられて以降、民間企業の中で懸念が高まっている。
正式な令状があるならともかく、実際にどれほど「外国政府」からのアクセスがあるかは分からない。だが、中国の国家情報法(17年6月施行)は中国企業に対して「国家情報工作」への協力を要請するため、中国関連企業からのアクセスには安全保障上のリスクがあると感じられている。
