先週金曜日はLiberty Alliance Day 2007に行ってきました。いくつかセッションのあった中で個人的に一番興味深かったのは情報セキュリティ大学院大学 板倉先生のお話でした。

このお話の中では、日本では個人情報保護法の施行以来、各所で過剰反応が起き、個人情報保護法本来の趣旨（保護と活用）からずいぶんと乖離した現状を説明されていました。このようなお話を聞いて、常日頃から思っていることとよく重なりました。今の日本のセキュリティ事情でよく見られることは、会社や組織のセキュリティーポリシーはたとえばUSBメモリの使用禁止とか、パソコンの持ち込み・持ち出し禁止といった利便性を大幅に犠牲にしたポリシーを強いることによって建前上成り立っています。たとえそのUSBメモリやパソコンに秘匿にすべきデータがなかったとしても、です。
一方アメリカでの状況を振り返ってみましょう。アメリカでは古くから軍などでの情報機器利用があったため（そもそも情報機器にかかわらず、情報全体の管理手法について）、この手の研究はよく進んでいます。その成果、たとえばOSでみればトラステッドOS、弊社の場合Trusted SolarisやSolaris Trusted Extensionsというのがありますがこの中での情報は、すべて「ラベル」によって秘匿性が管理されていて、ふつうの情報、社外秘情報などのラベリングがされています(ラベルをサポートするシステムでは、自分のユーザに割り当てられたラベルを越えた情報は一切見えません。たとえばファイル一覧でファイル名さえ出ません)。このようにすれば、守るべき情報にセキュリティ保護資源を潤沢に割り当てることができ、全体としてセキュアなわけです。
ここで日本の現状に振り返ってみると、セキュリティポリシを全体に同じレベルで割り当てているだけです。この結果、本来十分保護されるべき情報がどれだかわかりにくくなり、保護が手薄になると行った本末転倒の始末。どれだけ防御率の高いピッチャーでもすべて全力投球ではすぐに疲れてしまい、甘い球を打たれてしまうようなイメージです。

ここで少し板倉先生のお話をもう少し思い出してみます。板倉先生のお話の中では、日本ではほんの50年前まではそもそも日本にプライバシーといった概念はなく、家にも低い垣根があるぐらいで、門に鍵すらかかっていない。隣三軒両隣といった、ご近所とはほぼすべてのプライバシーを共有したコミュニティーだったようなイメージです。おそらく江戸時代より脈々とこのような文化が引き継がれてきたことによって、おおよそ日本人に情報の秘匿性に応じた分類などという考え方が生まれてこなかった(そして今もない)のだと思います。