個人情報保護法の4月施行を待つまでもなく、社内の機密情報や個人情報が格納されたパソコンのセキュリティ対策は重要である。以前のノートPCの盗難対策は、セキュリティワイヤーで机にくくりつけるなどの「持ち出されない」対策をすれば安心だったが、昨今はディスクに格納された情報保護に配慮する必要がある。そこでデータの暗号化によるセキュリティ対策を提案するのは三菱総研の飯沼聡氏のコラムである。
コラムによると、ノートPCをいくらセキュリティワイヤーで頑丈に固定しても、ドライバー一本あればデータの詰まったディスクは取り外すことができると警告。このような状況下でのディスクの中身を保護する一番単純な方法は、ノートPCに機微情報・個人情報を置かないことだ。その実現方法として、アプリケーションやデータを端末側に置かないThinクライアントという考え方があるが、まだ普及に至っていないという。
そこで、どうしても情報を保持しなければならない場合には、利用者としてデータの暗号化を行うことを提案している。ディスクのなかに仮想の暗号化されたドライブを作成し、他人に見られたくない情報はそこに格納する。暗号化のキー(鍵)はUSBデバイスなどに保存され、そのUSBデバイスがない限り、本体からディスクを取り出そうとも読み出すことはできない仕組みだ。
ここで注意が必要なことは、暗号化のキーを格納したUSBデバイスの管理だ。常にノートPCに挿しっぱなし、あるいは同じバッグに入れっぱなし、というのでは意味をなさない。また、このUSBデバイスを紛失してしまった場合には一切のアクセスができなくなる。そのための対策として、利用者用のキーと管理者用のキーを用意して管理する方法を勧めている。
利用者には利用者用キーのみ渡し、管理者キーを管理する管理者を設ける方法だ。利用者と管理者の階層的な管理を行えば、利用者キーを紛失しても、管理者がロックの解除と新たなキーの登録などを行うことができる。例え個人がいくらPCの暗号化をしても、同じプロジェクトのメンバーが暗号化していないPCを盗まれてしまったら元も子もない。飯沼氏は、組織としてデータを保護する取組みを求めている。