データプライバシーの最も弱い部分は、そうです、あなたです
データプライバシーデーおめでとうございます!クレジットカード番号の初回分は私がおごります!
そう、今週火曜日、1月28日は、米国とカナダでは「データプライバシーデー」です。これは、プライバシーとデータ保護に関する国際条約「条約108号」が1981年に調印されたことを記念する日です。(発祥の地であるヨーロッパでは、「データ保護デー」として知られています。)
ターゲットやニーマン・マーカスで最近発生したような企業レベルの消費者情報漏洩事件を受けて、個人データの保護は途方もなく困難に思えるかもしれません。しかし、私と同じように懸念を抱いているのであれば、適切な個人データ管理の概念を3つの要素に分解し、それぞれが個人の管理レベルに応じて段階的に変化させていくと良いでしょう。
結局のところ、ジョセフ・ヘラーの「キャッチ22」の観察を言い換えて拡張すると、もし本当に誰もがあなたの個人情報を狙っているのなら、パラノイアは単なる良い戦略に過ぎません。(パスワードの問題についてどれだけ文句を言っても。)
極端に単純化させてください。
1) セキュリティ。これは、データがどこに保存されていても、どの程度保護されているかという点であり、主に技術的な問題です。NSAに勤務していない限り、データ転送プロトコル、暗号化規格、認証方式を理解し、個人情報を保有する組織がどのプロトコルを使用しているかを指定できる場合を除き、個人としてはほとんど頼りになりません。
フォレスター・リサーチは最近、「従業員および顧客認証ソリューション」という、目が回るような内容でありながら簡潔なレポートの中で、認証(つまり、システムに対して自分が誰であるか、そしてアクセスする権利があることを証明すること)について論評しました。このレポートは、「現在のユーザー認証方法は組織にとって大きな失敗となっている」と率直に述べています。エントロピーが勝利すると結論付けるのではなく、スマートモバイルデバイスによる認証方法の台頭や、システムへのアクセス方法、正当性に関する文脈上の手がかり、そして全体的なリスクを考慮した認証のための「レスポンシブデザイン」の概念など、「大規模な第三世代のイノベーション」を示唆することを期待しています。
これは、TSA が旅行者が優先セキュリティ プレチェックを受ける資格があるかどうかを判断する方法に似ていますが、全身マッサージの代替手段はありません。
2) プライバシー。これは技術的な保護というよりも、データをどのように活用し、どの程度選択的に共有するかという問題であり、技術の問題から政策の問題へと移行しています。そして「政策」とは、残念ながら誤りを犯しやすい人間の集団がルールを作ることを意味します。それは政府の規制、ベンダーとの契約、あるいはFacebookの刻々と変化する利用規約といった形で表現されるものであっても同じです。
個人はここでより大きな影響力を持ち、そしてそれを望んでいます。非営利団体Common Sense Mediaは今月、全国調査を発表しました。それによると、例えば、米国成人の90%が「教育以外の利害関係者」が生徒の個人情報にアクセスし、それを利用できる可能性について懸念を抱いています。これらの「利害関係者」が実際に個人情報を入手したり利用したりできるかどうか(あるいはそうしたいかどうか)は、別の問題ですが、同様に重要な問題です。一方、フォーダム大学が行った別の調査では、生徒データ用のWebベースサービスを利用している学区の「相当数」に、プライバシーポリシーの不備など、契約上の欠陥があったことが指摘されています(興味深いことに、この調査にはマイクロソフトが資金提供していました)。言うまでもなく、子供たちは学校以外の場所で消費者向けサイトやアプリを利用しています。
どうやら、一部の親や学校管理者は、テクノロジー、あるいは契約法について学ぶ必要があるかもしれない。個人情報の保管を第三者に委託する人は誰でも、その前提が文書化された保証によって裏付けられていることを確認する必要があるだろう。
3) 実践。3つ目の要素は、実質的に最初の2つを合わせたようなもので、実際の状況下でどれだけうまく実践できるかが問われます。そして、ここが個人が最もコントロールできる部分であり、最近の自傷行為に関する報告が示唆するところだとすれば、最も不利な状況と言えるでしょう。
ISACA (情報セキュリティ専門家協会) による 2013 年 IT リスク/報酬バロメーターの概要によると、10 人中 9 人が情報の盗難を心配している一方で、半数は複数のアカウントや Web サイトで同じ 2 つまたは 3 つのパスワードを使用しています。
多くのサイトでは、サイト間、さらにはプラットフォーム間でも、同じアカウントに使用されているパスワードが驚くほど不統一なため、強力なパスワードを覚えるのが容易ではないのは事実です。しかし、セキュリティ企業SplashDataが2013年のワーストパスワード(123456)と呼んだパスワードや、それに次ぐパスワード(password、12345678、qwerty)を使用する言い訳はできません。これらは、データ漏洩によって漏洩した実際のユーザーパスワードです。あなたは自分が誰なのかを知っているのです。
これは、ウェブサイト管理者がウェブサーバーのデフォルトログインを「admin」から変更しなかったために、なぜ自分のサイトがハッキングされたのかと不思議に思ったのと似ています。実際にそのようなことがありました。
では、セキュリティの発展が、個人データの安全性における人間同士の最も弱い繋がりである「実践」の課題を克服するのに役立つという希望はあるのだろうか?特に、私たちは生来怠け者であり、利便性や記憶力に関して許容範囲内だと考えていた要求に簡単にぶつかってしまうのだから。
「個人が重視するプライバシーとセキュリティの直接的なメリットを提供し、同時にそれを実現する際のユーザーエクスペリエンスの摩擦も排除するテクノロジーが登場すれば、普及が進むでしょう」と、セキュリティとリスク担当の主席アナリストであり、最近のForrester Researchレポートの共同執筆者であるイヴ・マラー氏は指摘する。認証におけるレスポンシブデザインは、この楽観的な見通しの根拠の一つだ。「最終的な目標は、善意のユーザーにとっての不便を最小限に抑え、悪意のユーザーにとっての不便を最大限に軽減することです」と彼女は語る。
こうしたテクノロジーには、私たちの大切な存在であるスマートフォンも含まれるでしょう(例えば、PassQiのようなアプローチは、iPhone、QRコード、ブックマークレットを使って、選択したサイトでユーザーを認証し、誤ったパスワードや重複したパスワードを避けるよう優しくアドバイスしてくれます)。ただし、指紋認証やPINコードを使って、スマートフォンの画面もロックすることを忘れないでください。
しかし、個人情報は単独で保護されるものではありません。堅牢な技術と綿密な実践も、プライバシーに関するポリシーの不備があれば機能しません。これら3つすべてに対処しなければ、真の意味での対策とは言えません。
あるいは、もう一人の偉大な文学者ポゴの言葉を借りれば、「個人データの保護に関しては、我々は敵に出会った。そして、それは我々自身だ」。
