Pマーク付与機関からの個人情報漏えい

呉井嬢次(Johji Kurei) 2005-08-24 11:38:00

 (財)日本情報処理開発協会がセミナーで個人情報を誤って漏えいした事件が発生した。同機関は、既に1000以上の企業に対してプライバシーマークを付与しており、信用できる機関からの個人情報の漏えい事件としては見過ごすことができない。既に被害の拡大防止対応が進められているが、今後、どのような対策が講じられるのだろうか。

多くのセキュリティ対策から選ぶメリット

 セミナーに使用する資料に個人情報が含まれ、漏えいした今回のような事件を防止するためには、色々な対策が存在する。大量の情報が入手できるインターネットでも、残念ながらネットで収集できる情報セキュリティ対策は、その一部にしか過ぎない。「知られなければ、盗まれない」、「(個人情報や重要な情報が)盗まれても換金できなければよい」そんな考え方で有効なセキュリティ対策すら公開してこない企業は意外と多い。それでも安全は保たれている。

 ある原子力関係の企業では、独自のプロトコルを使っている。特別に提供された出力装置には、漏えいを防止する対策が施されている。ITの世界に限らず、オープンにしていく動きがある中で、情報をオープンにしないで、閉じた方法でも、十分に安全が実際に確保されている。逆に、中途半端にセキュリティ対策を施して、本来は非公開なネットワークの詳細や脆弱性が明るみに出たケースも多い。住民基本台帳ネットワークはその典型だ。安全な筈だが、住基カードの普及率は低いままである。

 つまり、ポイントは、どのセキュリティ対策を選ぶかである。その選択枝の中には、「安全性が保てないと判断したら、そのサービスを拒否する」ことも含まれている。その中には、サービスを利用しない、ライバル会社のサービスに乗り換えることを含んでいる。今回のような場合、国内のプライバシーマークでなく、国際的なTRUSTeでサイトを認証取得するのも選択枝として十分に考えられる。

ある企業のセキュリティ対策

 ある企業では、セミナー資料に重要な情報(個人情報を含む)が紛れ込まないように、セキュリティー対策を施している。その対策を幾つか紹介しよう。

対策1:セミナー資料の承認
 セミナーで使用する資料は、セミナー主催者側に届ける前に社内の担当者の承認をとることが社内ルールで定められている。担当者は、事前チェック一覧に基づいてチェックしていく。「社内に取り扱いが限定されている情報が含まれていないか」、「商標、著作権が適切に使用されているか」、「セクハラ、差別等の不適切な表現がしようされていないか」等があり、個人を特定できる個人情報も含まれている。この対策は、技術的なセキュリティ対策ではなく、情報セキュリティマネジメントレベルの対策である。

対策2:特定目的専用出力装置の設置
 社員がある程度の人数になれば、社長、人事担当者、営業担当者が使用するプリンターは別になっている。取り扱う情報に応じて出力装置(プリンター)を分けることで、誤まって持ち出してしまうリスクを避けることができる。本当は、故意に出力された情報を社外に持ち出す事故を防止する意図もある。今回の事件では、プリンターが共有利用されており、セミナー資料の出力先と個人情報の出力先が同じになっていた為に発生したのである。

対策3:セミナー主催側をチェックする
 企業がセミナーに参加または主催する場合、主催者、協賛、講演者などの役割を確認する。この時、セミナー主催側の役割の一つに、プレゼンテーション資料、配布資料に対してチェックする項目を入れている。同じイベントで講演した別な人物が不適切な行為を行った場合、同じセミナーで講演した企業にも悪影響を及ぼすからだ。実際にセキュリティイベントで、講演者の不配慮によって個人情報が漏えい事件に遭遇したことがある。セミナー主催者が謝罪することになった。残念ながら漏えいした個人情報は、100%回収することはできなかった。

対策4:情報機器の購買ルールを定める
 企業が購入する情報機器に対して、企業内ルールとして購買セキュリティレベルを定めている。そのルールの中にあるプリンターのパートでは、情報を社外に転送されることがないように、FAX機能を持たない(使わない)ことを定めている。実際にある共有プリンターのデバイスに対してハッキングすれば、共有プリンターの管理者権限を奪取できる脆弱性が発見されている。また、重要文書がそのままプリンターのトレイに置いたままにならないように「私書箱機能」の推奨、プリンター内部のハードディスクに重要データが残らない「残留セキュリティーの確保」を定めている。

 今回の事件では、少なくとも4つ挙げた対策が実施され、適切に運用されていれば防止することは十分に可能だった。もちろん、情報セキュリティ専門のコンサルタントによるチェックがあれば有効的に機能するに違いない。JIPDECによる事後のセキュリティに対する取り組みには評価できるところも多い。今後は、二度と個人情報を漏えいする過ちを起こさないようにして頂きたいと願う。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR