しょうがないじゃないですか、メールに zip 添付でも

ファイルをZIPで暗号化し、まずZIPをメールで送り、しばらくして別メールで8文字程度の乱数パスワードを送るという謎のプロトコルが日本企業で流行っているが、ZIPのパスワードは総当たりでかなり高速に解析できるし、そもそもパスワードをメールで送っているので効果が疑問。

— Daiyuu Nobori (@dnobori) 2013, 6月 17

 こちらのお話にピピッと来ましたので。当該ルーチンで個人情報をやりとりするケースパターンのご紹介など。こういうのもあるんですよ、という一例として。

運用現場の例

• BtoC での販売業。
• 顧客からの注文を受けて、商品の配送を行う。
• 配送を委託してる業者は複数有る。発注元からの直接配送のパターンも有る。
• 配送後に、発送業者からの発送先住所不定連絡や、顧客から送付先住所の修正依頼が来る。（日常的に個人情報が飛び交う）

セキュリティ的には甘いですよねという至極当然の結論

• ８文字暗号なんてちょっとググって拾ってきたツールで簡単に解けますし。
• メールサーバに侵入されたり途中経路で盗聴されたら２通目の情報もまとめて持ってかれますし。
• そもそもそんな運用してる現場でのPC端末のセキュリティ管理なんて推して知るべしでしょう。ログインパスワード書いてある付箋がディスプレイに張ってあったりとか。おお怖い。

現場監督者の苦悩

• 運用作業者の個人情報保護に関するリテラシーが低い！　数件のデータでも運悪く漏れたら会社ごと吊し上げを食らうのに、現場の作業者の人たちは個人情報満載のエクセルファイルやプレーンテキストファイルをいともたやすくメールに添付して外部業者の担当者に「送信」してしまいます。なんでそんなピュアなキラキラ目で堂々とやってのけるんですか、恐ろしい。まあ業務では当然必要なデータなので、テキパキと送らないわけにはいきません。もたもたしてると発送遅延でクレームですし。
• メーリングリスト！　転送アドレス！　おっかないですね、どこまで拡散するんだか…。あからさまなメーリングリストなら気づいて注意できますが、一見普通のメールアドレスが、先方の複数の担当者のメールアドレスに転送される仕組みだと、もうこっちからは判別が付きません。ただ、業務委託先がヤラカシてもこちらの責任は免れませんので、なるべく情報は抑えておきたいところです。
• 日頃からきちんと個人情報を取り扱う際の重要性と危険性の教育を各員に綿密に行い、精緻な業務マニュアルを作り周知徹底させ、美しく整頓された業務を回すようにするのがあるべき姿です。もちろん。しかし現実は中々に過酷です。人の入れ替わりは激しいし、日々の業務量は忙殺されかねない膨大さだし、繁忙期には数日だけのお助け要員が急遽投入されたりもします。どうしましょうねコレ。それも含めてちゃんと計画して管理すべき？　はい、ごもっともでございますお偉い様の仰るとおりで…（死んだ魚の眼）

とにかく最低限のレベルだけでも何とか死守しよう！　実装された運用

• 一番致命的なのは、発送業者に送るはずのメールを、一般顧客に間違って送っちゃったパターン。その一般顧客の方が騒いだら完全アウトで大ダメージです。
• 「個人情報は物騒なデータである、メールで平文で送るのだけは絶対にやめてよね、必ず zip 暗号化して送るってとこだけは覚えといてよ、ミスって漏らしたら一発でクビだかんね！」と各現場作業者にシンプルな脅しを入れる。作業端末には「個人情報暗号 zip 化！」とだけデカく書かれた付箋を貼り付けておく。（３行以上細かく書くと誰も読んでくれません、ええ）
• zip 暗号化のパスワードはなるべく業者ごとに固定で決めておいて、事前に周知しておく。「解凍パスはいつものですよー」。送信先を間違えた場合の保険としては、意外にコレが効きます。２通目のメールで解凍パスを送らないといけないシチュエーションでも、なるべく電話で伝えるのがよいでしょう。繁忙期には２通目のメールで済ませたくなるけど、そこはなるべくグッとこらえて頑張って！
• FAX の送信ミスもしばしば稀にありますが、番号は FAX 機に事前登録してる業者だけだから、送り間違えたとしても「ごめーん間違えちゃったテヘ☆」で容易に口止め可能です（ゲス顔）
• とりあえずこの運用だけ死守しておけば、最悪の事態で新聞報道沙汰になっても、「データ暗号化はしていたのですが…」と神妙な顔でお詫びして切腹の一つでもすればそれで収まるんじゃないかと。そんなスイートな考えです。なんもせずに平文でやりとりしてましたー、だと腹の切りようもございませぬ。穴掘って土に埋まってますんで、あとはそのノコギリでご自由にして下さい、ぐらいしか？

プライバシーマークとか ISO とか

• シンプルな話、プライバシーマークの規定には、個人情報をちゃんと保護する仕組みを作ってちゃんと運用しなさいよ、としか書かれてません。実際にどういう具体的手段をもって保護をするかは、取得する各組織に委ねられます。なので、「外部業者との情報のやりとりは暗号化 zip 方式とかで～」とか詳細運用マニュアルを定めるのは自分ところで、定めたマニュアルに添って運用業務を回さないと資格の定期審査時に NG 喰らってお取り消しになるのでちゃんと頑張ります。割とそれだけです。もっと良い方法があって、それをちゃんと運用できる目処がたつなら、マニュアルのほうを書き換えちゃいましょう。普通にできますので。

もっとちゃんとちゃんとの運用 を頑張って考え隊、大切な個人情報ですもの

• 情報をセキュアにやりとりする ASP サービスはいくつも出てます。預けたデータがデフォルトで暗号化されたり、一定期間でアクセスできなくなったりしてくれます。そういうのを利用するとより安心して危険情報のやりとりができると思います。メールで暗号化 zip 添付するやりとりよりは多少運用が複雑になりますが、頑張って手間掛ける価値はあると信じます。（一例：http://www.nri-secure.co.jp/service/crypto/promo/）
• ただ、情報をやりとりする外部業者も含めてトータルで管理しないと、片手落ちですので注意して下さい。取引先の某一部上場大手会社は、こういう立派なセキュアシステムを使ってデータを送ってきますが、こちらのために用意されたアカウントはありませんでしたので、先方にデータを送るときはやっぱりメールで暗号化 zip でした。「個人情報データメールで送りました」『あ、拡張子 zip だとこちらのメールサーバのセキュリティで弾かれるので、拡張子を .zi_ にして再送お願いします』「あ、はい」
• なお、運用がうんこならどんな素晴らしいシステムも無意味です。上記の会社から、データをダウンロードするための URL がメールで送られてきて、２通目のメールでアクセス用のアカウント情報が平文で送られてきたこともありました。あれ？

このケースパターンはフィクションで、実在する組織や団体とは一切関係ありません

• ありませんったら。