2018年7月5日から発生した西日本を中心とする豪雨は、人命も含んだ甚大な被害をもたらしました。被害に遭われた地域への早急な支援、及び一刻も早い復興を祈念して已みません。
この災害の中で、サイバーセキュリティの分野において”少し気になる注意喚起”がありました。
「00000JAPAN(ファイブゼロジャパン)」活動
認知度はあまり高くないかも知れませんが、「00000JAPAN(ファイブゼロジャパン)」という活動が行われています。
これは、2011年の東日本大震災時、通信手段の確保が非常に重要であったことを期に、大手通信会社を中心に、Wi-Fiアクセスポイントを無料開放できるようにしよう、という取り組みです。2016年の熊本地震においても適用され、通信の確保に効力を発揮しました。大変素晴らしい取り組みだと思います。
一方、“誰でも”“すぐに”使えるようにするためには、その分、セキュリティ面ではハードルを下げなければなりません。これは当然のことです。セキュリティレベルを確保するには種々の設定が必要になりますから。
被災し、それこそ閉じ込められた人が通信を行うのに、わざわざ通信設定をしなければならないことになったら、助かる命も助からなくなってしまうかも知れません。だから、セキュリティレベルは最低限のものになるのは必然です。
そしてこれは、”情報を盗もう”としている攻撃者から見ると”とてもオイシイ場所”ということになります。一般的なアクセスポイントよりも、容易に情報を抜き取ることができるのですから。
国が行った注意喚起は?
そこで、内閣府・総務省は下記の注意喚起を行いました。
「個人情報等の入力は極力避けていただくよう」
これは正しいんです。その通りなんです。間違ってないんです。…なんですけどね。もう少し、表現方法を考えていただくべきだったのではないか、と感じてしまうのです。
セキュリティ知識の無い人はどう感じるか
00000JAPANはとても有意義な活動です。緊急性を要する災害の現場でスピーディーな通信手段の確保ができます。ただ、だからこそ、使用を躊躇うような表現はして欲しくないのです。
“国が注意喚起を出した”という事実を知ったら、セキュリティ知識に自信のない人はどう思いますか?「国が注意喚起をしているなら、やっぱりマズいんだろうなぁ。よくわかんないから、できるだけ使わないようにしよう」となりませんか?
被災者の全員が、注意喚起を正しく受け止められるなら、今回のような喚起方法でも良いでしょう。しかし、「よくわからない」と普段から思われてるセキュリティです。“極力避けていただくよう”と否定的な表現で纏めてしまうことで、使われなくなる恐れが出てきてしまいます。
まずは有効性をアピールする工夫を
できれば、使用を促すことを強調して欲しかった。例えばこうです。
00000JAPANは誰でも使えるアクセスポイントです。緊急の連絡に是非活用してください。ただし、誰でも使えるようにしているため、他の人に内容が見聞きされる可能性があることだけ、ご留意願います。
このような表現で良かったのではないでしょうか。
人命よりも守らなければならない個人情報は存在しない
災害対策は時間との闘いです。まずは、00000JAPANを使ってもらうことを優先すべきだったと思います。個人情報の入力を制限させるよりも。
こういう非常時で何より忘れてはならないのは「その人の命よりも守らなければならない個人情報は存在しない」という事実です。個人情報保護は、その人の生命・財産が脅かされないように保護するのです。その人の生命が危ぶまれているときに、個人情報保護を気にしている場合ではありません。
そもそも個人情報保護法でも、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難」である場合は、利用目的・取得・第三者提供の例外事項となっているのです。
非常時においては、通常時と違うセキュリティ対応が求められます。そして、何よりも人命優先。今回のようなケース、指示を出す側は被害を受けていない場所にいます。言わば「通常時」の状態。であるからこそ、「非常時」である現場のことを考え抜いたうえで、表現の工夫が必要だったのではないでしょうか。