「暗号化されているので、万一、外部に漏れても安心です」

暗号化していれば、簡単に解読されないから大丈夫。
暗号化はセキュリティ対策の基本ではあります。

ただし、「簡単に解読されないだけ」であることに要注意。
なんでもかんでも暗号化しておけば大丈夫だと勘違いしてはいけません。

まず、念頭に置いておかなければならないのは
「暗号はいつかは破られる」ということです。
今まで人類の歴史上に、数えきれないほど誕生してきた暗号。
出来た当初は簡単には解読できなかったかもしれません。
でも、いつかは破られる運命にあるのです。

それを踏まえた上で、考えましょう。
暗号化していれば、本当に大丈夫なのでしょうか?

そこには大きな問題が潜んでいる場合があるのです。

1つ目の問題は、昔安全だったから、と言って放っておくケース。
例えば「SSLだから大丈夫」とだけ思っていて、
実は昔のSSL3.0で最新のTLSでは無かった、というようなケース。
または、Wi-Fiの暗号化してます、と言って
古いWEPという形式を使っているとか。

通信の暗号化でSSLを使っています、
というのは聞いたことがある方も多いでしょう。

でも、今は厳密にはSSLというプロトコルは安全ではないのです。
今SSLと表現されているものの多くは、正式にはTLSと言います。
TLSの元になったのがSSLだったので、
TLSのこともSSLと言っていることが多いのです。

そして、これらにもバージョンが存在し、
過去のバージョンは既に安全では無くなっています。
ですから「SSLだから安全」ではなくて
「最新のSSLのバージョンを使っているから安心」と考えなければいけないのです。

同様に、Wi-Fiの暗号化形式もいくつもありますが、
少なくともAESという方式を利用したWPA2を採用すべきでしょう。(2018.6現在)
未だにビジネスホテルのWi-FiなどでWEPを見かけることがありますが、
WEPは解読ツールが広く出回っており、簡単に解読が可能です。

2つ目の問題は、情報の“利用鮮度”です。
知り得た情報が、いつまで利用価値があるか、を意識する必要があります。

例えば、新商品情報があったとします。
これはプレスリリースまでは秘匿する必要があるでしょう。

しかし、一旦リリースされてしまえば、情報の価値は低下します。
だから、リリースまで隠し通せれば良いので、
それまで暗号が解読されなければOK。
いずれ解読されるとしても、後数週間のうちに解読は無理だろう
と思われる暗号を使えば、安心と言えるでしょう。

ところが、利用価値を持つ期間が長い情報も存在します。
個人情報やマイナンバー。
住所は引っ越しで、氏名は婚姻等で変わることがあるとは言え、
その使用期間は月単位ではありませんし、マイナンバーは原則生涯不変。
仮に10年後に暗号化が解かれたとしても、使える情報なのです。

そのため、マイナンバーは、
「暗号化された情報が漏洩したとしても漏洩事件」
として扱わなければなりません。これ、意外と知らない人が多いようです。

USBやパソコンに入れた個人情報を媒体ごと無くしてしまった、
というのは良く聞く話ですが、「暗号化してあるので悪用はできない」
と記者会見で言う方がおられますね。

そんなことはありません。
正確に言うなら「“直ちに”悪用はできない」というべきでしょう。
今は解読できなくても、致命的な脆弱性が見つかったり、
コンピュータの処理能力が上がったりして将来的には解読されるでしょう。
そしてその時、個人情報は悪用することが可能なのです。

無くしたけど暗号化してるから大丈夫、
とか侵入されたけど暗号化してるから大丈夫とかいうコメントを見ると、
「セキュリティ対策を軽視してる企業なんだな、起きるべくして起きた事件なんだな」
と感じてしまうのです。

暗号化したマイナンバーでも100件流出したら個人情報保護委員会報告事案です。
なお、個人情報は『高度な暗号化』が為されていれば報告義務はありません。
では『高度な暗号化』とはどんな形式か、というと難しいですね。
やはり、個人情報の場合でも、一旦個人情報保護委員会に問い合わせるのが無難です。

暗号化していたとしても、
「本当に効果のある暗号化対策なのか?」
ということだけは確認しておきましょう。