カテゴリー
Security

情報処理学会誌小特集「さようなら,意味のない暗号化ZIP添付メール」

昨年末より取り組んでいた情報処理学会誌『情報処理』の小特集「さようなら,意味のない暗号化ZIP添付メール」が発刊されました。

意味のない暗号化ZIP添付メールは、通称PPAPといわれる、日本独特の風習を指します。いまや官庁を始め様々な企業が採用している方式です。

全体構成は、産総研の江渡浩一郎さんと相談した結果、以下のようになっています。

本当は、第2章として文化人類学的見地からの寄稿も得たかったのですが、今回は残念ながら得られませんでした。もしわれこそはという文化人類学者の方がおられましたら、ご連絡をいただきたく存じます。

なお、第4章は噂の座談会「社会からPPAPをなくすには」です。なぜ現代において紙にハンコが意味がないのかとか,PPAPについてISMSもプライバシーマークも元凶ではないとか,PPAPソリューション売ってる会社に殺されるかと思ったら別にそんなこともなかったとか,単なる受け狙いではない話が沢山なので,ぜひ皆様お読み下さい。

Zoom での対談ならではの記念写真も載っております。約一名バ美肉になっておりますところが見どころとのことです。

みなさま、もそPPAPでお悩みでしたら、ぜひともこれを引用して突破していただければ幸いです。

カテゴリー
Announcement プライバシー

[フィンテック協会]アフターコロナの世界へ向けて

明日5月1日午後2時より、Fintech協会主催で、「アフターコロナの世界へ向けて」というオンライン・イベントがあります。NATコンサルティング代表の崎村も出演します。

まずはじめに慶応大学の宮田教授より社会像の変化、医療のあり方について、続いて崎村より、世界大戦とヘゲモニーの移り変わりから考えるコロナ後の世界、InternetBar.orgディレクターの安田氏からコンタクト・トレーシングについて、内閣官房シェアリングエコノミー伝道師の石山氏からリモートワーク、クラウドベースについてそれぞれ10分〜15分ほどのプレゼンをおこない、その後全員でディスカッションを行う予定です。

申込みは、Peatix から可能です。月曜の段階で300名を超えるお申込みを頂いているとのことです。

奮ってご参加ください。

開催日時は2020/05/01 (金)14:00 – 16:00 JST

出演

  • 石山 アンジュ
    一般社団法人シェアリングエコノミー協会事務局長 / 一般社団法人Public Meets Innovation代表 / 内閣官房シェアリングエコノミー伝道師
  • 崎村 夏彦
    一般社団法人Fintech協会アドバイザー / OpenID Foundation 理事長
  • 宮田 裕章
    慶応義塾大学医学部 医療政策・管理学教授
  • 安田 クリスチーナ
    米NGO InternetBar.orgディレクター
  • 木村 康宏
    一般社団法人Fintech協会代表理事副会長 / freee株式会社執行役員社会インフラ企画部長
  • 落合 孝文
    一般社団法人Fintech協会 理事 / 渥美坂井法律事務所・外国法共同事業パートナー
  • 野中 瑛里子
    一般社団法人Fintech協会 事務局長
カテゴリー
プライバシー

プライバシーを考慮する上での重要な観点

新型コロナ関連でのトラッキングの話関連で、緊急事態で人命がかかるという思いのせいか、プライバシーに思い至らずシステム開発されるかたも多いと聞いたので、参考までにプライバシーを考える上での重要な観点をまとめておきました。同時に、アイデンティティ管理も当然絡んでくるので、それもちょっとだけ。ご参考になれば幸いです。

プライバシーを考慮する上での重要な観点

  • 目的: そのシステムの目的はなにか?
    • きちんと整理してドキュメント化すること。これがないと始まらない。現状聞くところによると、次の2つが少なくともあるようだ。
      1. 行動変容を促すアプリ:接触を8割減らす(7割ではあまり意味がない?)← 統計的に処理できるので、普及率はそこまでクリティカルではない。
      2. 感染対策:トラッキング ← アプリの普及率がクリティカル ⇢ アプリでは多分意味がない。プラットフォームがやる必要あり。
  • ステークホルダー:そのシステムのステークホルダーは誰か、システムを直接使わない人まで考えて洗い出す。
  • 攻撃者:攻撃者としてだれが考えられるか?
    • システム提供者
    • 観測者
    • 侵入者
    • 知人・家族:人間の幸福度に最も大きなインパクト
    • 地域の人:差別問題に直結
  • データの最小化:最低限取得しなければならないデータはなにか。それぞれの処理で対象にしなければならないデータはなにか。
  • 本人の権利確保 etc => ISO/IEC 29100 (JIS X 9250)プライバシー原則
  • 対象とすべきデータ≠個人情報
    • 将来的に個人に結びつけ可能になるかも知れない情報まで管理対象にしておかないと、あとではまる。
      • 電話番号とか機器に結びついたUUIDは保護対象ではないというのは無理。
  • これらを鑑みた上でのPIA (ISO/IEC 29134 (JIS X 9251)) ステークホルダーの洗い出しと彼らによるリスクの承認

上記に鑑みたアイデンティティ管理上の観点

  • 電話番号など、変更されたり再利用されるものは一時的な識別子としては良いが、継続的な識別子としては向かない。利用はユーザー主張識別子に留めるべきで、内部識別子は別に採番し、そちらを使って管理すること。
  • 上記本人の権利確保には、本人によるデータアクセスなどがあるから、本人に認証手段を渡さなければならない。
    • 例:アプリで鍵ペアを生成して、サーバに初回データを送るときに一緒に送って登録するなど。

その他、思いつき次第順次書き足していきます。

カテゴリー
Announcement

NAT.Consulting始動

野村総合研究所での31年間の業務、特にここ20年間のデジタル・アイデンティティ、プライバシー、APIアクセス管理に関する国際標準化などで培ったノウハウを使い、御社のデジタル・トランスフォーメーションを支援するための会社、NATコンサルティング合同会社が、2020年4月1日、始動します。

守りのお手伝い

ID管理、認証、認可、プライバシー保護というのは、多くの方がもっておられる印象よりもかなり深いものです。この深さを理解しないことによって、数百億というような多額の損害を被る例もあとを絶ちません。NATコンサルティングは、設計段階からアイデンティティ管理とプライバシー保護の思想を導入することにより、こうした被害を未然に防ぐお手伝いをいたします。

攻めのお手伝い

一方、急速にビジネスを進化させていくためにもアイデンティティ管理とAPIアクセス管理は欠かすことができません。多くのレガシーなアプリケーションがそうであるように、アプリケーション内部にユーザー管理を入れてしまうと、機能拡張がとても難しくなります。

この問題を解決するのが、アイデンティティ管理を通してAPIアクセス管理を行い、他社の提供するAPIも組み合わせてあらたなビジネスを作るというものです。

NATコンサルティングでは、こうした場合の攻めについても、豊富なイマジネーションとアイディアでお手伝いいたします。