個人情報保護法での暗号化の必要性とは？実施方法や注意点も解説

個人情報保護法と暗号化の関係性

暗号化は個人情報保護と密接な関係があります。以下で、詳しい内容を見ていきましょう。

個人情報保護法ガイドラインで暗号化を求めている

個人情報保護法のガイドラインでは、個人情報を暗号化して保管することを求めています。

内閣府直下の個人情報保護委員会が策定した「個人情報保護法ガイドライン（通則編）」の「電子媒体等を持ち運ぶ場合の漏えい等の防止」の項目にて、個人情報を暗号化によって厳重に保管する方法が示されています。

さらに「情報システムの使用に伴う漏えい等の防止」の項目では、暗号化の範囲を、個人情報だけでなく通信の経路にまで広げています。これらのガイドラインは、企業が最低限実施すべき安全管理措置です。

高度な暗号化をしていれば漏洩しても報告義務はない

2015年に公布された「改正個人情報保護法」では、5,000名以上の個人情報を保有する企業に、個人情報の取扱いルールを定めています。例えば個人情報が外部に漏洩した場合は、個人情報保護委員会や漏洩の影響を受ける本人へ、事実関係などを報告しなければなりません。

ただし、個人情報保護委員会が策定した「個人情報保護のガイドライン」では、報告しなくてよいケースも規定されています。個人情報が高度に暗号化されている場合には、秘匿性が高いと推定されるため、たとえ漏洩したとしても、外部への報告義務はありません。

これは、個人情報保護委員会が策定した「個人データの漏洩などの事案が発生した場合の対応について」にも明記されています。

データベースの暗号化パターン

データベースの暗号化には、２つのパターンがあります。以下で、それぞれの詳しい内容を紹介します。

ハードウェアを使った暗号化

個人情報が保存されているハードウェアストレージ全体を暗号化する方法です。セキュリティ変数を搭載したセーフガードキーや、プロセッサに内蔵されている乱数ジェネレーターなどを使って、高度な暗号化を施します。

乱数ジェネレーターのロックは、担当者のパスワードのみで解除可能です。シンプルな方法なので、データ全体をバックアップするときにも役立ちます。

ただし全体を暗号化するため、データ単位での細かなアクセス制御などはできません。

ソフトウェアを使った暗号化

パソコン内部のプログラムによって暗号化する方法です。担当者のパスワードをキーとして、高度な暗号化を施します。パソコンのリソースを使うため、パソコンと同程度のセキュリティを維持可能です。

またデータごとに暗号化でき、細かなアクセス制御も可能です。そのため企業にとってより重要なデータを優先的に保護できるでしょう。

暗号化を実施する際の注意点

暗号化を実施する上で、どのような点に注意すべきでしょうか。

暗号化した情報も適切に管理しなければならない

暗号化は、重要なデータに高度な秘匿性を持たせることができます。そのため個人情報保護法に照らしたセキュリティ対策として有効です。

しかし暗号化すれば、通常のセキュリティ対策を行わなくてよいというわけではではありません。たとえ暗号化されていても個人情報であるかぎりは、個人情報保護法ガイドラインに準拠した管理が必要です。

通常のセキュリティ対策はもちろんのこと、細かなアクセス制御なども行いましょう。

氏名・住所・生年月日・性別など、特定の個人を識別できるものなら、すべて個人情報です。公的な刊行物などで公けにされている情報や、本人だとわかるような動画・音声なども含まれます。

これらのデータを保有する場合は、個人情報保護法に照らした安全管理措置を施しましょう。

解読・復号される可能性がある

暗号化は秘匿性の高いアルゴリズムを使わなければ、解読・復元される恐れがあります。暗号化に使うキーを定期的に変えない場合も同様です。同内容のデータを期間をあけて複数回送るような場合、暗号化キーが同じなら生成する暗号文も同じになります。

これにより同じ暗号化キーの長期間利用を知られると、攻撃の対象にされる可能性が高まります。暗号化キーを毎回変更すれば、攻撃者も解読を諦めやすくなるでしょう。

暗号の不正な解読には、さまざまな手法が知られています。例えばサイドチャネル攻撃は、暗号化を行うハードウェアの動作をチェックし、復号用のキーを盗み出す手法です。

暗号装置から発せられる微弱な電磁波を解析し、個人情報を復号する「テンペスト攻撃」なども知られています。2013年には局所的な電磁放射を解析するチップを利用した「近接電磁波解析攻撃」も発生しました。

適切に暗号化を行って個人情報保護法を遵守しよう！

個人情報の暗号化は、個人情報保護法のガイドラインによって明確に規定されています。そのため氏名・住所・生年月日・性別など、特定の個人を識別できるデータはすべて暗号化することが望まれます。

暗号化する際は、高度な秘匿性を持ったアルゴリズムを利用しましょう。暗号化キーは適切に管理するとともに、毎回変更するのがおすすめです。

暗号化を適切に行って、個人情報保護法を遵守したデータ管理をしてください。