第15回 情報漏えいの主原因は「個人」
これまでの報道によれば、原因は外部の情報セキュリティー会社からカード会社に派遣されていた社員がUSBメモリーで情報を持ち出し売りさばいていたことである。企業や医療機関、行政機関などの組織は、その活動の過程で収集、保管している個人情報を不正に流出しないように保護する責任がある。その組織体制を作ることは最低限不可欠だが、それで不正流出が完全に防げるわけではない。気が付かなかった穴をついて、情報流出事件や事故が発生する。厳格に個人情報を保護するには、体制づくりと並んで個人情報に触れる機会のある従業員の情報保護の意識や知識を高める必要がある。この韓国の事件の例に見られるように、情報流出事故の原因は大半が「従業員」から、つまり「個人」からの流出だからだ。これは「個人情報」だけでなく、企業の重要情報の取り扱いに共通する問題でもある。
従業員からの情報流出の原因も多様である。
最も単純なのが、知識不足による流出である。個人情報が入ったファイルを自分個人のパソコンに保管して、そのパソコンを入れたバッグを帰宅途中の電車の網棚に忘れてきた、という事故は頻出している。あるいはファイルをUBSにコピーして、同様に紛失してしまった、という事故も多い。ファイルを個人のパソコンやUSBなどオフィス外に持ち出すデバイスへのコピー禁止のルールの順守を徹底するのはもちろんだが、持ち出した場合に生じるリスクの大きさを理解するように社員教育を徹底しなければならない。
個人のパソコンに入れていた「ファイル共有ソフト」によって、情報がネットに流出したケースもある。また、情報を流出させるウイルスに侵入されていて、ネットに流出してしまった事故も後を絶たない。こういうリスクに対する危機意識を醸成しておくことも重要だ。こうしたファイルの持ち出しは、多くの場合は自宅で「サービス残業」するために自分のパソコンやUSBに移してしまう、仕事熱心なケースである。「仕事熱心」だからといって許されるものではないことを認識してもらわなければならない。
もちろん、ファイルをコピーして持ち出せないように、組織の側で仕組みを作ることも重要である。すでに個人情報を取り扱う機会が多い企業では常識になっているが、サーバーに入っているファイルがコピーできないように機能を制限することは最低限の措置である。
プリントアウトが必要な場合も使用できるプリンターを厳格な管理下にあるプリンターに限定して情報が拡散しないように配慮する必要がある。仮にパソコンやUSBを置き忘れたり紛失した場合にも、簡単にファイルを開けないように暗号化したりパスワードをかけるなどの措置を講じておくべきである。
最近ではサーバー側にファイルやソフトウェアを準備して、パソコンなどの端末はネットワークで使用するが、終了するとすべてサーバー側で保管されて端末側にはプログラムもデータも残らないようにして情報流出を防ぐ手法が拡がっている。スマートタブレット端末で同様の仕組みにしてオフィス以外でもファイルの安全性を確保して従業員が利用できる手法も普及し始めている。
悪意ないしは敵意のある流出事件もある。
パソコンやUSBにファイルをコピーして持ち出すところまでは知識不足による情報流出に似ているが、知識不足の場合には誰かに拾われても、暗号化やパスワードによるロックで直ちに流出ということにはならないが、悪意や敵意が動機の場合には、直ちに流出の危険がある。
ネットに拡散されるのは、比較的早くに発見できるが、一度拡散したものは次々とコピーして爆発的に拡散するので対処は難しい。個人情報の場合は対象者に謝罪し、さらに補償金の支払いが伴うケースもある。企業が保管する顧客の個人情報の流出の場合には損害補償が一人当たり数万円の水準で、企業に与える打撃も大きい。また、個人情報を他の犯罪に悪用しようという闇の集団も存在しているので、そこへファイルを売りさばくケースもある。韓国の事件はこのケースだが、小規模の場合には発覚するのが遅れるのと、闇の世界で拡散しているので、実態を把握するのが難しい。闇の世界でどういう悪用のされ方がするのか分からず、不気味な状況がいつまでも続く。
悪意や敵意のケースは防ぐのが困難だが、一つには、従業員として企業に対して不平不満を高じさせて、その挙句に行為が行われる。従業員への普段からの適切な配慮と監督が重要だろう。また、個人情報にアクセスする記録をとって、アクセス権のないファイルに不自然にアクセスしようとする従業員の存在を適切な形で把握しておくことも必要である。
特に退職者については、ファイルの持ち出しを行えないように措置をするルールを作るべきだろう。よく話題になる米国企業のケースでは、解雇する際にも、本人が解雇通知を受けて自分の机に戻ると、パソコンはすでに使えない状態にされ、デスクにも鍵がかけられて仕事に関わるものは一切、手を触れられない状態になっている、とのことである。あまりにも冷たい仕打ちだが、情報流出を徹底的に防ぐためには、こういう非情な方法も必要なのかもしれない。それほど、個人から情報を流出する危険が大きいということである。
リスクを少しでも低減させるためには、従業員のモラルを上げ、情報を取り扱う責任感を醸成することが重要である。JAPiCOで行っているような「個人情報管理士」の研修を受けて情報を取り扱うのにふさわしい知見を持たせる努力も必要だろう。
【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization
従業員からの情報流出の原因も多様である。
最も単純なのが、知識不足による流出である。個人情報が入ったファイルを自分個人のパソコンに保管して、そのパソコンを入れたバッグを帰宅途中の電車の網棚に忘れてきた、という事故は頻出している。あるいはファイルをUBSにコピーして、同様に紛失してしまった、という事故も多い。ファイルを個人のパソコンやUSBなどオフィス外に持ち出すデバイスへのコピー禁止のルールの順守を徹底するのはもちろんだが、持ち出した場合に生じるリスクの大きさを理解するように社員教育を徹底しなければならない。
個人のパソコンに入れていた「ファイル共有ソフト」によって、情報がネットに流出したケースもある。また、情報を流出させるウイルスに侵入されていて、ネットに流出してしまった事故も後を絶たない。こういうリスクに対する危機意識を醸成しておくことも重要だ。こうしたファイルの持ち出しは、多くの場合は自宅で「サービス残業」するために自分のパソコンやUSBに移してしまう、仕事熱心なケースである。「仕事熱心」だからといって許されるものではないことを認識してもらわなければならない。
もちろん、ファイルをコピーして持ち出せないように、組織の側で仕組みを作ることも重要である。すでに個人情報を取り扱う機会が多い企業では常識になっているが、サーバーに入っているファイルがコピーできないように機能を制限することは最低限の措置である。
プリントアウトが必要な場合も使用できるプリンターを厳格な管理下にあるプリンターに限定して情報が拡散しないように配慮する必要がある。仮にパソコンやUSBを置き忘れたり紛失した場合にも、簡単にファイルを開けないように暗号化したりパスワードをかけるなどの措置を講じておくべきである。
最近ではサーバー側にファイルやソフトウェアを準備して、パソコンなどの端末はネットワークで使用するが、終了するとすべてサーバー側で保管されて端末側にはプログラムもデータも残らないようにして情報流出を防ぐ手法が拡がっている。スマートタブレット端末で同様の仕組みにしてオフィス以外でもファイルの安全性を確保して従業員が利用できる手法も普及し始めている。
悪意ないしは敵意のある流出事件もある。
パソコンやUSBにファイルをコピーして持ち出すところまでは知識不足による情報流出に似ているが、知識不足の場合には誰かに拾われても、暗号化やパスワードによるロックで直ちに流出ということにはならないが、悪意や敵意が動機の場合には、直ちに流出の危険がある。
ネットに拡散されるのは、比較的早くに発見できるが、一度拡散したものは次々とコピーして爆発的に拡散するので対処は難しい。個人情報の場合は対象者に謝罪し、さらに補償金の支払いが伴うケースもある。企業が保管する顧客の個人情報の流出の場合には損害補償が一人当たり数万円の水準で、企業に与える打撃も大きい。また、個人情報を他の犯罪に悪用しようという闇の集団も存在しているので、そこへファイルを売りさばくケースもある。韓国の事件はこのケースだが、小規模の場合には発覚するのが遅れるのと、闇の世界で拡散しているので、実態を把握するのが難しい。闇の世界でどういう悪用のされ方がするのか分からず、不気味な状況がいつまでも続く。
悪意や敵意のケースは防ぐのが困難だが、一つには、従業員として企業に対して不平不満を高じさせて、その挙句に行為が行われる。従業員への普段からの適切な配慮と監督が重要だろう。また、個人情報にアクセスする記録をとって、アクセス権のないファイルに不自然にアクセスしようとする従業員の存在を適切な形で把握しておくことも必要である。
特に退職者については、ファイルの持ち出しを行えないように措置をするルールを作るべきだろう。よく話題になる米国企業のケースでは、解雇する際にも、本人が解雇通知を受けて自分の机に戻ると、パソコンはすでに使えない状態にされ、デスクにも鍵がかけられて仕事に関わるものは一切、手を触れられない状態になっている、とのことである。あまりにも冷たい仕打ちだが、情報流出を徹底的に防ぐためには、こういう非情な方法も必要なのかもしれない。それほど、個人から情報を流出する危険が大きいということである。
リスクを少しでも低減させるためには、従業員のモラルを上げ、情報を取り扱う責任感を醸成することが重要である。JAPiCOで行っているような「個人情報管理士」の研修を受けて情報を取り扱うのにふさわしい知見を持たせる努力も必要だろう。
【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization