個人情報保護の強化【平成29年度 秋期 応用情報技術者試験 午後 問1】

平成29年度 秋期 応用情報技術者試験 午後 問1

問1 個人情報保護の強化に関する次の記述を読んで、設問1,2に答えよ。

 C社は、服飾・雑貨のインターネット販売業者である。約50,000人の顧客が同社の会員制Webサイトを利用している。会員制WebサイトにはHTTPSを使用してアクセスする必要がある。

 顧客が会員制Webサイトにログインするには会員番号が必要であり、会員登録時に、重複しない6桁の数字列をランダムに割り振っている。

 C社には、商品販売部門の他に、服飾類を扱うX部門、生活雑貨を扱うY部門、そして輸入雑貨を扱うZ部門の三つの商品開発部門がある。

〔C社の現状〕

 C社の会員制WebサイトはDMZ内に設置してあり、セキュリティ専門会社に委託してインターネットからの不正アクセスの検知と対応を行っている。

 C社のネットワーク構成(抜粋)を図1に示す。

f:id:aolaniengineer:20200301162630p:plain

 C社の会員制Webサイトで扱う顧客情報や販売情報は、社内イントラネット内のWeb販売管理システムに蓄積されている。Web販売管理システムの顧客情報データベースには、顧客の会員番号をキーとして、氏名、メールアドレス、電話番号、性別、年齢、住所などが格納されている。また、Web販売管理システムの販売情報データベースには、顧客の会員番号をキーとして、該当顧客の販売情報が格納されている。二つのデータベースは磁気テープを用いて、月次でフルバックアップを行い、日次で増分バックアップを行っている。C社の方針で過去1年間のバックアップデータを保管している。

 C社では、会員制WebサイトのWebアプリケーションが出力する会員閲覧ログ(以下、Webサイト閲覧履歴という)を、毎日、社内イントラネット内のWebアクセスログ分析システムに転送して、その中に含まれる顧客の会員番号を基に、顧客ごとの閲覧履歴を分析している。

 各商品開発部門は、Webサイト閲覧履歴や販売情報を参考にして、定期的に商品の品ぞろえを見直している。各商品開発部門では、有資格者だけがWeb販売管理システムにログインして、販売情報をPCで閲覧したり、CSV形式のファイルでPCに出力したりすることができる。有資格者が出力したWebサイト閲覧履歴や販売情報のCSV形式のファイルは、分析完了後にPCから削除することになっている。

 各商品開発部門の有資格者は有資格者リストで管理している。各商品開発部門からの申請に基づいて、システム部門が有資格者リストを更新するとともに、Web販売管理システムやWebアクセスログ分析システムへのアクセス権限を設定する。

 顧客情報データベースは、各商品開発部門には公開していない。各商品開発部門の有資格者がWebサイト閲覧履歴と販売情報を関連付け、閲覧した商品と売れ筋商品を分析する。その際、性別や地域、年齢などを必要とする場合、システム部門は、顧客情報から必要がない個人情報の箇所をマスクしたデータ(以下、加工個人情報という)を提供している。加工個人情報は、CSV形式のファイルを暗号化して、電子メール(以下、メールという)に添付して有資格者に送付している。暗号化したファイルを復号するためのパスワードは別メールで送付することになっている。

〔個人情報保護の強化〕

 システム部門のF部長は、Web販売管理システムのデータベースにある情報や、PCに保存されているWebサイト閲覧履歴や販売情報、加工個人情報について、社内からの不正アクセスや従業員の人的ミスによる漏えいのリスクが高いと考えた。会員番号を含めた個人情報が漏えいするおそれをできるだけ減らすためには、個人情報を含むデータの秘匿性を高める必要があると考え、社内で対策を協議した。

 その結果、個人情報保護を強化するために、次の(1)〜(4)の対策を実施することにし、具体的な実現方法をシステム部門のD課長が検討することになった。

(1)Web販売管理システムへのアクセスはHTTPSによるものに限定する。

(2)顧客情報データベースと販売情報データベースは、暗号化鍵を用いて暗号化する。バックアップデータからの情報漏えいを防ぐために、暗号化されたデータのままバックアップを行う

(3)Webサイト閲覧履歴は、その中に含まれる会員番号を、元に戻せない仮のID(以下、仮IDという)に変換してから、Webアクセスログ分析システムに転送する。

(4)各商品開発部門の有資格者がWeb販売管理システムにログインした場合は、(a:販売)情報に含まれる会員番号を同じ方法で仮IDに変換して提供する。

a:販売情報

Web販売管理システムで扱う情報については、「C社の会員制Webサイトで扱う顧客情報や販売情報は、社内イントラネット内のWeb販売管理システムに蓄積されている」とあるように、顧客情報と販売情報です。

また、各商品開発部門や有資格者が取得できる情報については、「各商品開発部門では、有資格者だけがWeb販売管理システムにログインして、販売情報をPCで閲覧したり、CSV形式のファイルでPCに出力したりすることができる」「顧客情報データベースは、各商品開発部門には公開していない」とあるように、販売情報は取得可能ですが、顧客情報は取得できません。

(3)で「会員番号を、元に戻せない仮のID(以下、仮IDという)に変換」とあるように、会員番号が仮IDに変換されています。そのため、有資格者が「Webサイト閲覧履歴と販売情報を関連付け、閲覧した商品と売れ筋商品を分析する」ためには、販売情報の会員番号も仮IDに変換されている必要があることが、(4)で記載されています。

 D課長は検討した結果をF部長に報告した。

D課長:データベースの暗号化アルゴリズムには、共通鍵暗号方式の(b:AES)を採用しようと考えています。暗号化鍵は四半期に1回変更します。新しい暗号化鍵でのデータベースの再暗号化が完了次第、古い暗号化鍵は削除する予定です。

b:AES

選択肢はそれぞれ、AES:共通鍵暗号方式、MAC:メッセージ認証符号、RSA:公開鍵暗号方式、SHA:ハッシュ関数に関するものです。

AES(Advanced Encryption Standard)は共通鍵暗号方式の一つで、2000年に米国政府標準の暗号方式として採用されたものです。

F部長:①古い暗号化鍵を削除する運用だと問題があります。過去の暗号化鍵も含めて鍵を管理するように検討し直してください。

①について、どのような問題があるか?:削除された暗号化鍵で暗号化されたバックアップデータを復号できない。

暗号化鍵に関しては、「顧客情報データベースと販売情報データベースは、暗号化鍵を用いて暗号化され、暗号化されたデータのままバックアップを行う」とあり、その暗号化鍵は「暗号化鍵は四半期に1回変更」するようになります。

ここでバックアップについては、「過去1年間のバックアップデータを保管」と記載がありました。

したがって、四半期ごとに古い暗号化鍵を削除すると、過去1年間のバックアップデータが復号できなくなってしまうことになります。

D課長:分かりました。それから、仮IDに変換する際には、変換後のIDが衝突しないように、会員番号に(c:ハッシュ関数)を適用した結果を採用しようと考えています。

F部長:仮IDから直接元の会員番号に戻すことはできませんが、万一、採用した(c:ハッシュ関数)が知られてしまった場合には、②間接的に仮IDから元の会員番号を特定できてしまいます。これを防ぐために、公開しない文字列と会員番号を文字列連結した結果に対して、(c:ハッシュ関数)による変換を行ってください。

c:ハッシュ関数

変換後のIDが衝突しない」「仮IDから直接元の会員番号に戻すことはできません」という特徴をもつ変換の方式は、ハッシュ関数になります。

ハッシュ関数は、データを固定長のビット列(これをハッシュ値またはメッセージダイジェストという)に変換するものです。

ハッシュ関数の特徴は以下のとおりです。

  • 入力データが同じであれば、常に同じハッシュ値が生成される
  • 逆に、異なる入力データから同じハッシュ値が生成される可能性が非常に低い
  • ハッシュ値から入力データを特定することは困難である

②について、仮IDから元の会員番号をどのようにして特定することが可能か?:会員番号となり得る全数字列を同じハッシュ関数で変換して突き合わせる。

上記のとおり、ハッシュ値から元のデータである会員番号を特定することは困難です。

ただし、ハッシュ関数が知られてしまった場合には、元データの全パターンをそのハッシュ関数で変換することで、一致するハッシュ値を特定することは容易です。

今回の会員番号は6桁の数字列であり、その組み合わせは100万ですので、コンピュータで簡単に特定することが可能です。

〔加工個人情報の提供方法の改善〕

 加工個人情報をメールに添付して送付する方法には、次のリスクが存在することが分かった。

・パスワードを別メールで送付する運用だと、(d:盗聴)に対して効果がない。

・間違って別のファイルや暗号化していないファイルを添付してメールを送付するおそれがある。

・間違って(e:意図しない宛先)にメールを送付するおそれがある。

d:盗聴e:意図しない宛先

加工個人情報など秘密情報と、パスワードをメールなど同じ経路で送付する運用では、盗聴や誤送信によるリスクが高まります。

パスワードは別の通信手段で伝えることが必要です。

 D課長は、メールで送付する現状の受渡し方法ではリスクが高いと考え、加工個人情報をWeb販売管理システムに格納して、有資格者だけがアクセスできるように変更することにした。

【出典:応用情報技術者試験 平成29年度秋期午後問1(一部、加工あり)】