データ漏えいに関する最近の調査結果には震撼させられる。データを漏えいさせてしまった結果、倒産に追い込まれた企業は驚くほど多いのである。そこで本記事では、データの漏えいを防ぐために企業ができることを紹介している。
Privacy Rights Clearinghouseは2010年11月3日、同社のウェブサイトで公開しているChronology of Data Breaches(データ漏えい年表)を更新した。2005年以降に発生したデータ漏えい事件の件数がどれだけあったか想像できるだろうか?なんと5億1084万1759件もあったのだ。しかもこの数字には、届け出のあった事件しか含まれていないのである。
またこのレポートでは、以下のような驚くべき事実も明らかにされている。
- データ漏えいの20%は、小売業や卸売業といった、金融とは関係のない分野の中小企業で引き起こされている。
- データ漏えいを引き起こした中小企業の80%は、2年以内に倒産する、あるいは財政難に陥るという憂き目に遭っている。
米連邦取引委員会(FTC)もこの問題を認識しており、Protecting Personal Information:A Guide for Business(ビジネスにおける個人情報保護に関するガイドライン)という資料を公開している。その冒頭においては、以下のような重みのあるアドバイスが述べられている。
「企業においてファイルやコンピュータに保存されている機密データを保護することは、健全なビジネスを営むうえで欠かすことができない」
そして、この資料ではデータ保全計画を立てる際に以下の原則を守るよう勧めている。
#1:機密データを把握する
これは当たり前のことのように思えるかもしれない。しかし、機密データに相当するものを洗い出し、その用途や格納場所を把握する作業を行っていると、たいていの場合には驚かされる事実がいくつも明らかになるはずだ。セキュアではないUSBドライブに重要データを保存している従業員が見つかることも珍しくないのである。
#2:必要なところにのみ機密データを配備する
機密データをすべて洗い出したのであれば、次は業務の遂行に必要なものを選別することになる。選別結果が関係者間で合意に達したのであれば、今後は必要なデータのみを保持するようにすべきである。FTCの資料では、これに関して以下のようにまとめている。
「機密データは、ビジネス上の必要性がある場合に限り、システム上に保管する。そして、必要性がなくなった時点で、当該データを適切に破棄する。システム上にない情報は、ハッカーにも盗みようがない」
また筆者はリサーチを行うなかで、「保持しているデータの複製が少ないほど、保護は行いやすくなる」という言葉を何度も目にしている。
#3:機密データをロックする
現代において、ネットワークはインターネット上にまで広がる、境界線の定まっていない漠然としたものとなっているため、完全にロックすることはほぼ不可能である。このため専門家たちは、ネットワークへの侵入を防ぐことよりもデータをセキュアにすることにより重点を置くよう勧めている。具体的には、以下の2点が提言されている。
- 機密データを隔離する。管理者は、ファイルサーバやデータベースサーバを独立したネットワーク上に隔離し、アクセス制御を厳格に行うことで機密データの保護を実現する。
- 機密データは暗号化しておく。モバイルコンピューティングの隆盛により、社外から社内のデータにアクセスしたいという要求が高まっている昨今、上記の提言を実行することは難しくなってきている。こういった状況においては、データの暗号化が必須となる。経営層が暗号化に難色を示した場合、セキュアではないデータが漏えいした際に届け出を義務付ける規制が数多くあり、暗号化されたデータはセキュアであると見なされるという点を説明すればよいだろう。また、データの盗難が発生する1番の原因は、ノートPCの盗難や紛失であるという点も説明しておくべきである。
