取材・文／鈴木俊之、写真／荻原美津雄、取材・編集／設楽幸生（FOUND編集部）

パソコンやスマホを使っている人なら、誰しも攻撃される可能性がある。

前回は、サイバーセキュリティを「人ごと」だと思うのが、一番よくない考えだと学びました。

今回は砂原先生に、サイバー攻撃の恐ろしさと、先生が最近取り組んでいる「情報銀行」についてお聞きします。

砂原秀樹（すなはら・ひでき）
慶應義塾大学大学院メディアデザイン研究科 教授
慶應義塾大学先導研究センター サイバーセキュリティ研究センター 所長

1960年兵庫県生まれ。1988年慶応義塾大学理工学部博士課程修了。2008 年 4 月より現職。
村井純（慶應義塾大学環境情報学部教授）らとともに、1984 年から JUNET、1988 年からWIDE プロジェクトを通じて、日本におけるインターネットの構築とその研究に従事。2005 年より東京大学江崎浩教授と共にインターネットを通じて環境情報を共有する Live E! Project を開始。
この他、自動車や様々なセンサをインターネットに接続して、新たな情報通信基盤を構築するプロジェクト、パーソナル情報を安心・安全に活用するためのフレームワーク「情報銀行」に関するプロジェクトを進行中。

最悪なのは……

――先生から2回にわたってお話をうかがい気づいたのですが、サイバーセキュリティのリスクって、実は身近にあるものなんですね。

砂原：
「はい。たとえば、ぼくが最悪だと思うのは、『〇〇株式会社備品』などと自社の名前がデカデカと記されているパソコンを使って、カフェで仕事をすることです。

ああやって仕事している人は、『ちゃんと準備しているんだろうか？』と不安になる。

セキュリティがしっかりしている大企業などは、持ち出せるパソコンが決まっている。

また、セキュリティ対策もとっているし、入れてよいデータも限定されている。でもそんな企業は少数派です」

――どういう手口で侵入されるんですか？

砂原：
「最近はフリーWi-Fiを提供する店舗が増えています。

ところが、そのフリーWi-Fiのふりをする『偽物の基地局』が店舗内で発見されるケースがとても増えている。

『偽物の基地局』は小さな箱です。電池で稼動します。

機械は中国なら１万円ほどで手に入ります。これがテーブルの裏など人目につかないところに設置されているんです。

チェーン店が実施しているフリーWi-FiのSSIDやパスワードは公開されていますから、それと同じ設定がされています。

利用者は公式のフリーWi-Fiを使っていると感じているが、そうではない。

これは専門家でも判別できません。

この『偽物の基地局』のフリーWi-Fiを使ってしまうと、そのパソコンはもちろん、セキュリティが甘ければ、メールを送った先などにも簡単にマルウェアを仕込むことができます。

感染したパソコンを持ち帰って社内LANにつなげば、たちまち先ほど述べたような事態を招くというわけです。

ただし、準備がしてあれば、最悪の事態は防げます。

パソコンにセキュリティソフトを入れるのはもちろん、

会社としてLANにつなぐ前チェックするきまりになっていればいい。

しかし申し上げたように、現状では準備していない人や会社が大半です。現在、攻撃側はやり放題といっていいでしょう」

サイバーセキュリティは「私の問題」

――もう、おそろしくてカフェで仕事などできません。

砂原：
「外でパソコンを使う際には、さらに重大な危険があります。

なぜなら、セキュリティの専門家がいくらマルウェアと戦おうとも、会社のセキュリティ担当者が孤軍奮闘しようとも、まったく防ぐことのできないことがあるのです。

それは『盗み見』です。

よく新幹線の車内でノートパソコンを開き、一生懸命に仕事をしている人を見かけますよね。

多くの人は、パソコンのディスプレイが丸見えになっている。脇から簡単に見えてしまう。みなさんも経験があるでしょう。

しかも機密文書を平気で開いていたりする。駅や空港の待合室などでもよく見かけます」

――サイバー空間どころか、リアルな世界ですら、準備ができていない人が多いということですね。

砂原：
「パソコンだけじゃありません。

満員電車の車内で『Confidential』（機密）と印の押された書類を広げているおじさんもいるでしょう。

要は想像力なんです。

ここで書類を広げたら、誰の目に留まるのか、もし悪意のある者が入手したら、どんなことが起きるのか。そういうことを考える想像力に欠けている。

だから、冒頭で述べたように、サイバーセキュリティの問題は、関係者全員が、自分の問題だと考えなければうまくいかない。全員が想像するべきなんです。自分に関係のないことはひとつもない、と」

「情報銀行」の本当の目的

――サイバーセキュリティの話はひとまずおいて、先生が提唱している「情報銀行」について聞かせてください。

砂原：
「ぼくたちは2013年から『情報銀行』という考えを提唱しています。

しかしコンセプトとしては、現在、世の中で流布されているものとは違います。

今、起きているのは、多くの企業や団体が個人情報をたくさん集めてしまっているという問題です。

口座情報、金融資産、住所、氏名、その他もろもろです。

この集めた個人情報は、当人と約束した用途にしか使えないと法律で決まっています。

しかし、情報を集めた企業や団体は、これを別の形でも生かしたいと考えている。

ところがその場合、当人に許可を取り直さなければならない。それは面倒です。

だから、その仕組みをつくりましょうというのが、情報銀行の、初期段階のコンセプトなんです。

そして現在、ＩＴ業界の団体である『日本ＩＴ団体連盟』が、情報銀行を名乗ってよいという認定証を発行するという作業を行っています。

ただし、ここはスタート地点なのです。

ほとんどの人は、これが情報銀行だと考えている。本当の情報銀行はちがうのです」

――どうちがうのでしょうか？

砂原：
「だれが集めようと個人情報は当人のものです。だけど、初期段階では、集めたほう――企業や団体――の立場しか考えられていません。

当人のことは考えられていなかった。

次のステップでは、集められた個人情報を、その持ち主である当人が、自由に使うことができる状態を目指しているのです。

たとえば、個人情報には、住所、氏名、年齢、学歴、職歴、経済状態、資産、趣味し好、病歴、ＤＮＡなどがあります。

この情報をあるところに、ある方法で預ければ、有益な情報が得られます、というサービスです」

――自分で自分の個人情報を利用できるようにする、ということですね？

砂原：
「そうです。これができたら、本当に多くの人がハッピーになる。これが『情報銀行』です。

個人情報は『情報銀行』の通帳のようなものに保存される。

そして情報銀行には、金融機関にいるファイナンシャル・プランナーのように、当人の希望に応じる「情報プランナー」のような人がいる。

その人が、情報の使い方をアドバイスしてくれる。

たとえば、『おれは健康には興味ない。それより、おいしいものを好きなだけ食べて一生を送りたい』という人が情報銀行に問い合わせるとしましょうか。

すると、自分の個人情報に基づいて、希望を叶える方法をアドバイスしてもらえるというわけです」

――ハッピーになりそうです。

砂原：
「『情報銀行』の役割は、このアドバイスの仕組みに加えて、あとふたつあります。

ひとつは、自分の個人情報を誰がどのように使ったかがわかるような仕組みづくりです。『コンセント・レシート』と言います。

もうひとつは、『ポータビリティ（移植性）』（portability）です。

ぼくたちは、このふたつをまとめて『透明性』（transparency）と呼んでいます。

ここまで提供する仕組みを完成させて初めて、ぼくたちが構想した『情報銀行』が完成するというわけです。

遅れている日本人のセキュリティ意識を変えたい

――すぐにでも出来そうですが？

砂原：
「ところが、さまざまな壁が立ちはだかっています。とくに『ポータビリティ』の問題がむずかしい。

つまり、誰かがＡ社に預けた個人情報を、自分のために使いたいから取り出してくれと頼んだとします（これが「ポータビリティ」）。

しかしＡ社だけでなく、ほとんどの企業のシステムがそのように設計されていないから、たいへん手間がかかる。

『情報銀行』を完成させるには、この仕組みを各社が準備しなければなりません。しかしこれが遅れている」

――海外ではどうなのでしょう？

砂原：
「ＥＵではこのために、ＧＤＰＲ（ＥＵ一般データ保護規則）を定めて、ＥＵ内での個人データの取扱いを統一している。

米国でも同様の動きが進んでいる。というか、Googleなどの大手ＩＴ企業は、ポータビリティの準備をすでに終えています。

国際的に見ると、この準備をしなければ、日本の企業はすべて破綻してしまうと思います。

準備をしていない企業に莫大な罰金が科されるおそれがあるからです。だから、ポータビリティは最優先課題となっています。

これができた上で、『透明性』を確保し、アドバイスの仕組みを作る。そうすれば情報銀行は動き出すでしょう」

――しかし、個人情報があちこちで使われるというのは、やはり抵抗があります。

砂原：
「そういう意見は多い。たしかに『おまえの情報を勝手に使いたいからちょうだい』と言われても賛成なんかできません。

だから、
『あなたの情報はこんなに蓄積されています。これを活用すると、たとえばガンになるリスクを常に計測でき、早期発見にたいへん役立ちますよ』
など、メリットのほうに目を向けてもらうようにしなければならない。

情報銀行は、自分の個人情報を自分でコントロールする仕組みなんだということを、知ってほしいんです」

――となると、またセキュリティが問題になります。

砂原：
「そうです。情報銀行の構想で、セキュリティは基礎です。情報銀行はその上に組み立てられなければならない。

また、ファイナンシャル・プランナーの中にも詐欺まがいの人がいるように、情報銀行のアドバイザーにも疑問符をつけたくなるような人が当然現れるでしょう。

その場合、ぼくが判断材料として考えるのは、
『ちゃんとリスクを説明しているか？』
ということです。これはマナーや道徳、知恵の問題です。

つまり、冒頭で話したように、リアルな世界と同じなのです」

これからの時代、今以上に個人情報が財産としてより貴重になってくると同時に、セキュリティーが一層大切になるようです。

我々の幸せな未来に大切な個人情報も、使い方によっては善にも悪にもなる、そのことを忘れてはいけないと思いました。

本日は貴重なお話をありがとうございました。
（おわり）

・サイバー攻撃から身を守る方法｜慶應義塾大学大学院 砂原秀樹 第1話
・サイバー犯罪を「他人事」と思っている人へ ｜慶應義塾大学大学院 砂原秀樹 第2話
・情報も銀行に預ける時代の到来 ｜慶應義塾大学大学院 砂原秀樹 第3話

株式会社FOLIO
金融商品取引業者 関東財務局長（金商）第2983号
加入協会：日本証券業協会、一般社団法人日本投資顧問業協会
取引においては価格変動等により損失が生じるおそれがあります。
リスク・手数料の詳細はこちらへ

・本コンテンツは一般的な情報提供を目的としており、個別の金融商品の推奨又は投資勧誘を意図するものではありません。
・掲載した時点の情報をもとに制作したものであり、閲覧される時点では変更されている可能性があります。
・信頼できると考えられる情報を用いて作成しておりますが、株式会社FOLIOはその内容に関する正確性および真実性を保証するものではありません。
・本メディアコンテンツ上に記載のある社名、製品名、サービスの名称等は、一般的に各社の登録商標または商標です。