 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
マイクロソフト中村氏「情報漏えいは、日常業務でごく普通に起こりえる」 |
||||||||||||||||
|
||||||||||||||||
|
セミナー「IT実践塾 個人情報漏えい対策編」
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
マイクロソフト株式会社とAIU保険会社は、中小規模事業所向けに実施しているセキュリティ対策セミナー「IT実践塾」として、第1回目の「個人情報漏えい対策編」セミナーを1月19日に行った。 ■ 個人情報の価値の高さとプライバシー意識の低さが情報漏えいを招く
同氏は「個人情報は、企業の経営活動のなかでも、例えばマーケティングがスムーズに運ぶなど、非常に価値あるもの」とした一方で、「国内では、プライバシー保護意識は社会的にも浸透しておらず、国内企業の間でも概して低い」ことが、漏えい事故が多発する背景になっているとした。さらに国内企業では「性善説が前提となっており、管理が現場任せなのも問題」とし、「情報漏えいの原因はほとんどが内部からで、教育指導の欠如とルールの未確立、漏えいを防止する仕組みがないのが現状」と語った。 個人情報の定義については「生存する個人を特定できる情報」とし、名前や住所、電話番号、顔写真、声、また電子メールについても「経済産業省ガイドラインのなかで、それ単独で個人情報と規定された」という。漏えいした情報は、オレオレ詐欺や架空請求、恐喝などに悪用されているほか、無言電話、ストーキングといった被害の例も出ている。同氏は「いったん漏えいした情報は元に戻せない。例えば名簿業者の手に渡れば、またたく間に広がっていく。最初のうちに拡大をいかに食い止めるかが重要になってくる」とした。 またこうした基本的な情報に加え、個人の利益に影響のある金融資産、負債、学歴、身体的特徴、結婚歴、性格といったセンシティブ情報、さらに個人情報保護法の基となったJIS Q 15001で収集が禁じられている医療カルテ、思想、宗教、病歴、犯罪歴といったハイセンシティブ情報なども含まれるとした。また特に企業で忘れがちな個人情報として、従業員情報を挙げた。 ■ 個人情報は主体である個人のもの 個人情報保護法は2003年5月30日に制定されている。「一部では4月より施行と言われているが、現在猶予されている罰則規定の適用が始まるだけと理解してほしい」とし、すでに法律としては有効になっている点に注意を促した。その骨子は、1985年にヨーロッパで作られたOECDの8原則を踏襲して1998年に作られたJIS Q 15001を基にしている。法律のなかでは、個人情報はあくまで情報主体である個人のものと規定されている。「これまで企業では、収集した個人情報を自由にマーケティング活動などに利用してきた。今後、情報はあくまで企業が預かったものと位置づけられる上、事前の本人同意なしに情報を集められない。またその管理は厳しく問われることになり、同意された目的以外での利用もできなくなる」とした。またシステム構築やデータの入力といった業務を外部に委託した場合に、従来は受注先の企業が管理責任を問われていたが、個人情報保護法の下では、業務の発注元が委託先の管理責任を問われる形となる。管理責任は、例えば作業ミスやノートPCの盗難など、意図しない場合にも厳しく問われる。同氏はこの2点について「企業活動を行う上で、大きな変更を伴う」とした。 そして罰則が有効となる4月以降には、たとえ証拠がなくとも「情報が漏れている」と指摘され、捜査対象となった場合に、社内に情報漏えいを防ぐ仕組みがなければ、罰則の対象になりうる可能性も指摘した。 なお保護の仕組みを持つ企業を認証する「プライバシーマーク制度」も、JIS Q 15001をベースとしているため、「これに対応できていれば、法への対処もできていることになる」とした。しかし現在のところ、制度取得を申請している企業が1000社ほどあり、審査待ちの状態となっているため「いまは準備から取得まで8カ月程度かかる」とのことだ。 ■ リスクを評価し、優先度の高いものから対策を
リスクの評価に必要なものとしては、情報の価値、脅威の大きさ、そして脅威に対する弱点としての脆弱性の3つを挙げた。脅威には、盗難や不正アクセス、持ち出しといった意図的なものと、作業ミスをはじめとした偶発的なもの、さらに天災などの環境要因が含まれる。そしてこれらに対して、例えばアクセスログを保存していない、保管場所の施錠をしていない、といったものが脆弱性となる。同氏は「それぞれを3段階で定義して掛け合わせ、リスクを定量的に把握し、優先度の高いものから順に対策を行う必要がある」とした。 そして評価後の対策については「現場任せではだめで、経営トップが基本方針を決めるべき」とした。この方針に基づいて、守るべき方向性を対策基準に、具体的な手続きを実施基準に、それぞれマニュアル化することになる。 また対策を始めた後にも、実行結果を指標に照らしてチェックし、検証して改善すべき部分をスパイラルアップしていく必要があるとした。同氏は「毎年同じ基準でチェックしても意味がない。今年と来年では、基準がだんだん上がっていくべき」とした。 「情報保護に100%はありえない」と述べた同氏は、「情報が漏えいする事態をあらかじめ想定し、初期対応を早くしてすぐに抑止をできるよう、連絡、対応体制をあらかじめ作ることも大切」とした。そして最後に「法律なので選択の余地がなく、企業では対応するしかない。それぞれの会社の事情に応じたやり方を検討してほしい」と述べて講演を終えた。 ■ URL マイクロソフト株式会社 http://www.microsoft.com/japan/ AIU保険会社 http://www.aiu.co.jp/ ■ 関連記事 ・ マイクロソフト中村氏「情報漏えいは、日常業務でごく普通に起こりえる」(2005/01/20) ・ マイクロソフトとAIU、中小事業所向けの情報漏えい対策セミナーを無償提供(2005/01/06)
( 岩崎 宰守 )
|
