またもや個人情報流出--これを防ぐ方法はあるのか?

Phil Windley 2005年06月15日 20時28分

  • このエントリーをはてなブックマークに追加

 ここ最近毎週と言っていいくらい、個人情報の流出事件が起きている。ここで問題なのは、ある企業から個人情報が流出すると、それらの個人情報が盗まれて悪用される可能性が大きいことだ。

 最新のケースでは、Citigroupが390万人の顧客情報を紛失した。Reutersの報道によると、この事件では、顧客情報を暗号化せずに記録したテープが、信用調査所への運送中に、行方が分からなくなったという。運送はUnited Parcel Serviceが担当していた。

 テープやデータの紛失事件はもちろん、テープドライブが発明されたときからあった。でもこうした事件が、今ほど注目されることはなかった。今では、消費者はもちろん、腰の重い議会でさえも個人情報盗難について心配するようになっており、企業は以前にも増して個人情報の適切な管理を要求されるようになってきている。にも関わらず、ITプロフェッショナルの中には、自分たちの責任を認識していない人も多い。

 先日、かなり大きなデータセンターのオペレーションズマネージャーを務める友人と雑談していたときに、この問題について触れてみた。彼の反応は、まるで「車のヘッドライトに照らされて、動きが止まった鹿のよう」だった。もちろん彼は他の会社で顧客情報の流出事件が起きていることを知っていた。だが、自社の顧客情報が何の対策も施されないまま放置されているのではないかと、これらの事件を自分の身に置き換えて考えて見ることをしなかったのだ。この会話からわたしが確信したのは、この友人だけではなく、こういう例はほかにもたくさんあるということだった。

 どのような組織であれ、何らかの形で個人情報を集めている。みなさんの会社にもあるはずだ。それらがどこに保管されているか、みなさんはご存知だろうか?

 この問題に対処するために開始できることの1つは、「プライバシー監査」を実施することだ。プライバシー監査では、自分の組織が集める個人情報に関する複数の項目をチェックさせられる。例えば以下のような質問だ。

  • どんな種類の個人情報を集めているか?
  • どのような方法で個人情報を集めているか?
  • 何のためにその個人情報を集めているのか?
  • 個人情報の使用(内部あるいは外部での)について、特別な条件が定められているか?
  • 誰がデータの所有者で、誰が管理者か?
  • 誰が、何のためにそれらのデータを使い、通常どうやってアクセスしているか(例えば、リモートから、ウェブ経由で、家から、その他)?
  • データはどこに保管されているか?
  • それらのデータの中に、ノートPCやPDAなど、日常的に社外に運び出される機器に保存されているものはあるか?
  • データのバックアップはあるか?もしあるなら、バックアップに関しても上記の質問を繰り返す。
  • データはパートナー企業と共有されているか?なぜ、どうやって?
  • データへのアクセスログはあるか?
  • ログはどこに保管されているか?
  • ログは保護されているか?
  • その他のセキュリティ施策(ファイアウォール、侵入検知システムなど)がデータを保護するために使用されているか?

 どんなデータがどこにあるかが分かれば、次はどうやってそれを保護するかだ。大切なのは、データを所有し、管理し、使用する人々がこの問題をよく理解し、自分たちの責任を認識することだ。まず、ここから始めないと、どんなに高度な技術を駆使しても何の役にも立たない。

 Citibankのデータ紛失がその良い例だ。Citibankは、パートナー企業へ運送するデータは今後すべて暗号化すると発表した。暗号化技術は普及している技術であり、以前からずっとこれを利用できたはずだったが、Citibankは今までそれを実施してこなかった。今回の問題に対してCitibankがとるべきだった解決策は、技術の変更ではなく方針の変更だろう。同様に、あらゆる方法を使ってデータ自体を保護しても、誰かがそれをノートPCにダウンロードして社外に運び出してしまえば、努力は水の泡だ。今回の事件で得られる教訓は、解決策の非技術的な側面を無視しないということだ。

 問題はまだまだ続きそうだ。これからも、データ紛失のニュースは絶えないだろう。これは構造的な問題だ。プライバシーに関してDaniel Soloveにインタビューしたとき、「われわれは脆弱性のアーキテクチャを構築してしまった」と彼は述べた。われわれをこういう状況に陥いらせた根本的な問題を正すには、かなり時間がかかるだろう。それまでの間は、われわれ自身がニュースのネタにならないように十分に気をつけようではないか。

  • このエントリーをはてなブックマークに追加
関連キーワード
経営

関連ホワイトペーパー

SpecialPR

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化