仕事絡みの話なのでチョイと微妙なのだが、伏せる分は伏せて書いておこう。
某金融機関な取引先と個人情報をやりとりしている業務がある。媒体はMOで配達記録配送、MO自体も鍵付きのジュラルミンケースに入っている。データには暗号化がかけられ、復号の際にはパスワードが必要だ。これなら安全？
いや、パスワードだけ知っていれば誰でもどこでも復号出来てしまう、という見方も出来る。
この暗号化については市販のソフトを用いているらしいのだが、ホント、パスワードさえ知っていれば誰でも、どこのPC上でも復号出来てしまう。そんな機能ならZIPアーカイブでだって出来るわいな。
金融機関な個人情報なのでそれはあんまりだと思い、「せめてPGPにしませんか？」とこちらから提案してみた。公開鍵と暗号鍵を用いる方法なら、暗号鍵が入っているPCでないと復号は出来ない。パスフレーズもキョーレツに長いものが設定出来るし、なによりタダでも使える。
先方の、私とやりとりしてくれている担当の方は、助言に沿って自分のPCと同僚のPCでPGPの環境を作り、挙動の確認等をしてくれたようだ。しかし、彼らの部署から社内システム部署に相談したところ、「安全性は現行方式と同等」「オンラインで出回っているソフトは信用ならん」とかいう返事だったそうで、採用出来なかったらしい。現場ではPGPの暗号強度を理解したのに、システム部署がそんな考えとは……大丈夫かな、あの会社……。