企業における情報漏えい対策-入門編(5/6)
~ 「再発防止に努める」だけでは防げない「紛失・盗難」 ~

第5回アイキャッチ

個人情報漏えいの原因というとどうしても、メディアを騒がせる「標的型攻撃」や「内部犯行」のように、悪意を持った人物による意図的な行動を連想しがちです。しかし、敵は内側にもあり。前回(*)も紹介しましたが、たとえ悪意がなくても、個人情報を取り扱う担当者のちょっとしたミスや誤操作によって漏えいが生じることがあります。

(*)
第4回:入門編(4/6)~便利なサービスの落とし穴、意図的な犯罪だけではない情報流出の原因~

2015年6月、国土交通省で航空行政全般を統括する航空局長が、業務用タブレットや緊急連絡網などの入った鞄を電車内で置き引きされたニュースが報じられました。この局長は会合で飲酒した後電車で帰途についたのですが、うっかり寝過ごし、網棚の上に載せていた鞄が紛失していたことに気付いたそうです。

酔っ払って大事な情報の入った鞄を紛失するなんて、とんでもない! と感じる方がいるかもしれません。けれど、人間のやることに絶対はありません。しっかり管理しているつもりでも、急いでいたり、何かに気を取られていたり、逆にちょっと気が緩んでしまったり……人のやることに絶対はなく、うっかりミスをゼロにすることは困難です。

同様に、個人情報を含んだファイルをメールで送信する際に、誤って無関係な人のメールアドレスをCCに追加してしまった、という事故もよく見聞きするところです。最近では、ユーザーの利便性を考慮し、最初の数文字を入力すると送信先を自動的に保管してくれるメールサービスも増えていますが、時と場合によってはこれが「余計なお世話」になってしまいます。

こうした実情は、いくつかの調査結果からも明らかです。日本ネットワークセキュリティ協会(JNSA)の「2013年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~」(http://www.jnsa.org/result/incident/)によると、2013年に発生した情報漏えい事故の原因、第1位は「誤操作」で34.9%に上りました。第2位は「管理ミス」の32.3%、第3位は「紛失・置き忘れ」で14.3%となっています。実に個人情報漏えい事件の8割以上が、意図せぬ誤操作やミス、不注意によって引き起こされていたのです。

同様に東京商工リサーチが公表した「上場企業の個人情報漏えい・紛失事故」調査結果(https://www.tsr-net.co.jp/news/analysis/20150618_02.html)では、全288件のうち最も多かったのは「紛失・誤廃棄」の132件(全体の45.8%)で、次いで「誤表示・誤送信」が59件(同20.5%)となっています。

一つだけ良い材料を挙げるとすると、誤操作や紛失に起因する個人情報流出の場合、不正アクセスや内部犯罪、ウイルスによる情報漏えいに比べ、1件当たりの被害件数が比較的少ないことが挙げられます。ですがそんなことが気休めに感じられるくらい、ミスや紛失による漏えい事件は日々発生しています。試しに検索サイトで「個人情報 紛失」といったキーワードで最近のニュースを検索してみてください。教育機関や医療機関、自治体のようにセンシティブな情報を扱う組織も含め、実に多くの事故が発生し、担当者が処分を受けていることが分かるはずです。

不必要なデータは持ち出さず、持ち出すときには暗号化を

さて、こうした紛失やミスによる情報漏えいの防止策には何があるでしょうか? 紛失事件に関する当事者の報告を見ると、しばしば「再発防止の指示を徹底する」といった文面を見受けます。しかし、上司が指示し、当人が注意するだけで防げるならば、そもそもこれほど頻発しないはずです。

ここでもやはり、発想の逆転が必要でしょう。つまり、データを紛失しないよう防止に努めるとともに、仮に紛失しても悪用されないような形で情報を取り扱えばいいのです。具体的には暗号化が挙げられます。暗号化さえしておけば、仮に紛失やミスによる流出が起こったとしても、第三者による悪用は困難です。

また予算が許せばですが、リモートデスクトップや仮装デスクトップのような仕組みによって、根本的にデータが手元に残らないシステムを構築するのも一つの手でしょう。スマートフォンに限れば、端末紛失時にリモートからロックしたり、データを消去したりする機能を提供する管理ソリューションが提供されています。

紛失しても悪用されない為の逆転の発想も

何より、最初からデータを持たなければ、紛失することもありません。業務上不必要なデータは持ち歩かない、持ち出さないという原則を徹底することが重要です。そして、万一紛失が発生したときには、速やかに上司なり担当部署に報告し、被害を最小限に抑える必要があります。また忘れがちなことですが、PCやUSBメモリを廃棄する際には安易にゴミ箱に捨てたりせず、組織や企業が定める手順に沿ってデータを消去し、復元できない状態にした上で処分すべきでしょう。

ただここで注意しておきたいのは、やみくもに「あのデータは持ち出し禁止、このデータもダメ」と、何でもかんでも禁止すると、かえって抜け道を作り出しかねないということです。そもそもなぜ従業員がデータを持ち帰るかというと、少しでも効率的に仕事をしたいからでしょう。あるいは与えられている業務量が多すぎ、自宅で作業しなければ間に合わない、という状況に追い込まれているのかもしれません。そんな状況でデータの持ち出しだけを禁じても、当人としては「持ち帰らなきゃ仕事が終わらないのだから、仕方ない」と開き直るしかありません。悪くすればシステム管理者の把握しないところで情報が持ち出され、流出してしまう恐れがあります。

持ち帰らざるをえない状況を作らない

先日日本年金機構で発生した情報漏えい事件では、本来は基幹系システムで取り扱われるべき個人情報が、業務遂行のために情報系システムにコピーされていたことが、被害を拡大する一因となりました。実態に合わないルールが害を及ぼすことは、この一件からもお分かりいただけるかと思います。

 

編集:ビジネスon IT運営事務局(セキュリティ班)

メールマガジンを購読する

Pocket

コメント