この記事はインターネットを介してカウンセリングを受けたり、問合せ/申込みを行う人がご自身のプライバシーと安全性を確保するための情報セキュリティガイドを提供します。
※対策の完全性や情報の正確性を保証するものではありません。
情報セキュリティの重要性
これまで起きなかったことが起きる
不正アクセスにはAIも参戦してきます。「これまで無事だったから今後も無事」という考えは取り返しがつくことだけに適用可能です。リスクにそれを当てはめてしまうのは正常性バイアスという錯覚です。
また、自動化された攻撃は、無名な一個人であっても標的となります。「私は狙われるほど目立ってない」はマシンには通用しません。
身近な人との関係を守る
近い人間関係においても、お互いのために情報セキュリティが必要です。たとえ敵対関係でなくとも、同僚や家族に相談内容を知られること、疑いの余地が生じることは様々な影響を伴います。
苦手な人ほど早く始めよう
情報セキュリティを自身でコントロールできるようになっておきましょう。
しかし、完璧主義の人は、中途半端を怖れてなにもせずに、完全無防備になります。「とりあえず、この記事に目を通すだけ」などのスモールステップができずに、完璧な0点になりやすいです。
出来ることから改善し、安心材料を増やしてゆきましょう。
オンライン面談に適した場所
オンラインカウンセリングや電話相談の場合は、まずはプライバシーを確保できる場所が必要です。
隣の部屋の会話が聞こえるアパートは注意が必要ですね。同居人が「別の部屋にいる」「寝ている」というのもお勧めしません。
もしかしたら誰かが聞いているかもしれないという可能性が少しでもあれば、カウンセラーが扱えないと判断するトピックもあります。
プライバシー確保のために、ビジネスホテルの昼間割引を利用する人もいます。レンタルスペースは防犯用のマイク付き監視カメラが設置されている場合がありますので、予約に確認が必要です。
通信端末を守る
インターネットでカウンセリングの情報収集や申込みをすると、ブラウザに検索履歴、閲覧履歴が残ります。閲覧履歴やメッセージ履歴を覗かれないために、まずは端末を守りましょう。
スマフォの画面ロック
携帯電話には、PINコード等による画面ロックやアプリロックをしましょう。これをしないと、端末を紛失したら覗かれ放題になります。
PINコードの桁数は6~8桁以上がお勧めです。桁数を1桁増やすだけで10倍、2桁増やすと100倍、ハッキングが困難になります。ただし、同じ数字の連続、生年月日などは破られるリスクが高くなります。
なお、PINコードに代わる指紋認証は便利ですが、本人が寝ている間に指を使われるリスクがあります。同居人がいたり、外でお酒を飲んだり、相部屋宿泊がある人は注意が必要です。
PCを守る
- OSのセキュリティアップデートをしましょう。(Windows Updateの自動設定など)
- 紛失・盗難に注意しましょう。(Windowsログイン認証は比較的簡単にリセットされてしまいますので、あまりあてになりません)
紛失・盗難が起きた場合は、別の端末からメール・サービス等の強制ログアウトをしましょう。
共有PCを避ける
職場や家族共有のPCをカウンセラー探し、カウンセラーとの連絡に使うのは避けましょう。
もしどうしても共有PCを使うしかないなら、ブラウザの「プライバシーモード」「1日分の履歴削除」の使い方を習得しておくとよいでしょう。
ブラウジング追跡をされたくない場合
カウンセリングに限らず、あなたがどのようなサイトや商品を閲覧したかを追跡して、広告やマーケティングに活用するサイトもあります。
そのような追跡をされたくない人たちは、BraveやFireFox(+uBlock Origin)などのインターネット・ブラウザを使っているようです。
ショルダーハッキングに注意
カウンセリングサイトの閲覧や送受信をする場合は、背後から画面を覗かれないように注意しましょう。カフェなどでは、背後が壁となる席を選びましょう。
画面に貼る「覗き防止フィルター」というものも販売されています。これを貼ると斜めから画面が見えにくくなります。
相談先のプライバシー対策を確認する
相談者のプライバシーがどのように扱われるか説明されているページを読みましょう。通常はプライバシーポリシー、個人情報の取扱い、セキュリティ方針などとして書かれています。利用目的、情報共有範囲、情報保護対策がとられていゆか等を確認します。
また、Webフォームによる申込みの場合は、httpsになっていることを確認します。ブラウザによってはURL欄に鍵マークが表示されたりします。(たいてい費用はかからないので小規模事業者でも設定されているはずです)
これらは相談者側で管理できるものではありませんが、確認する癖をつけましょう。具体的な対策があるかで、そのカウンセリング事業者にプライバシーに対する意識があるか見えてきます。
メールのプライバシーを守る
送受信記録やアカウントが流出すると、本人になりすましてカウンセラーに問い合わせるということも可能になります。メール/SNS/メッセンジャーのアカウントはしっかり保護しましょう。
二要素認証
フィッシング(なりすましログイン画面など)でパスワードを騙し取られたときや、コンピュータウイルス感染でパスワードを盗まれたときに守ってくれます。いまのところ最も優れたアカウントセキュリティ対策の一つです。
認証アプリ(Google Authenticator、Microsoft Authenticator、2FASなど)をインストールしてから、メールサービス等の設定で「二要素認証」をONにします。
※追記:「パスキー」も同様に多要素認証に使えるようになってきました。
安全なパスワードとパスワードマネージャー
パスワードは記号と数字を含めて、長い桁数にしましょう。また、他のサービスで使用しているのと同じパスワードを使うことは危険です。
ただしたくさんのパスワードを覚えるのは困難です。そのために「パスワードマネージャー」も使い慣れておくことをお勧めします。GoogleアカウントやOSアカウントとは別に独立してマスターパスワードが設定できるアプリがよいと思います。(Bitwarden(無料版あり)、Microsoft Authenticator、Proton Passなど)
送受信メールの管理
多くのメール環境では、ユーザー端末だけでなく、メールサーバーにも送受信メールが残ります。
端末上のメール、メールサーバー上のメールを必要に応じて削除してください。送信メールと受信メールの両方を忘れずに。
後のために記録を残しておきたいという判断もあるかもしれませんが、メールサーバーにメールを残しておくと、いずれ忘れてしまい何年間も管理されず放置されてしまいます。
相談内容に関して情報を送ったメールなどは消しておくことも検討してください。
相談が終わり落ち着いた頃に削除するのであれば、リマインダーを設定しておくのもよろしいかと思います。
メールサービス選びのヒント
※多くのメールサービスは事業者がメールボックスを覗くことが技術的に可能です。それを避けるには「ゼロアスセス」仕様のメール・サービスを選ぶことが出来ます。カウンセリング等の用途に「ゼロアスセス」であるProton Mail、Mailfenceなどの無料アカウントを利用するのもよいかもしれません。ただし、相手側(カウンセラー側)のメールサービスが「ゼロアスセス」仕様であるとは限りません。
盗聴されないために(通信の暗号化)
カウンセリングの申込みや、オンラインセッションにおいて、自分(相談者)の端末から相手(カウンセリング提供者)までの通信の暗号化を確保することで、盗聴や偽サイト/危険サイトへの誘導を防ぎます。
WiFiを使っている場合
自宅で無線LANを使っている場合、その電波は屋外まで漏れていることがあります。盗聴リスクを軽減するために、WiFiの暗号化を確認しておきましょう。最近の機材であれば大丈夫だと思いますが、「暗号化なし」や「WEP」などになっている場合は設定を変更します。「WPA3」となっていればよいでしょう。(このブログ執筆時点)
フリーWiFiは、たいてい通信が暗号化されていないので、VPN等の知識がない場合はお勧めしません。
4G/5Gのモバイルデータ通信(WiFiを使用していない状態のスマフォ)は、それ自体暗号化されているので、とくに設定は必要ありません。
マルウェア対策
マルウェアというのは、いわゆるウィルスソフトなど悪さをするソフトウェアです。情報漏洩や脅迫などの発症機能をもつものがあります。
Androidはアプリからの感染があるようですので、Playストアの設定で「Playプロテクトによるスキャン」もONにします。これは無料でできます。
PCや携帯電話にウィルス対策ソフトを導入しましょう。こちらは費用がかかります。
基本は「あやしいURLや添付ファイルをクリックしない」と「ソフトウェアを最新にしておく」です。
補足
カウンセリング業はプライバシー/情報セキュリティは重要事項であるにも関わらず、セキュリティ技術に詳しいカウンセラーは心理の専門性が低いと勘違いされます。「守秘義務がありますからご安心ください」「厳重に管理しています」と言いながら、具体的な対策は何も考えていない相談施設などもあります。くれぐれも、情報セキュリティをしっかり学んでいるカウンセラーを「心理専門家らしくない」などと思わないようお願いします。
まとめ
とくに重要な対策を挙げます。
- オンラインカウンセリングのためのプライベート空間
- 携帯端末ロック(6桁以上のPINコード)
- 端末のOSアップデート
- 認証アプリ(または/かつ、パスキー)で二要素認証
- 複雑パスワード&パスワードマネージャー
