#4:正しく運用する
不要になった機密データは破棄するべきだという点についてはすでに述べた通りである。しかし、機密データが紙に印刷されているか、何らかのストレージ機器に保存されているかにかかわらず、適切に破棄されていることを確認できるようにしておかなければならない。この点に関してFTCの資料では、見過ごされがちな点を2つ挙げている。
- 在宅勤務者にも、紙の書類や電子機器を廃棄する際の手続きを守らせるようにする。
- データの破棄に関して、会社として遵守する必要のある法律や規制があるかどうかを確認しておく。例えばFTCは、消費者の信用情報を破棄する際に遵守すべき具体的な規制を設けている。
#5:漏えい発生時の対応を定めておく
データ漏えいを引き起こした中小企業はたいていの場合、倒産すると述べたことを思い出してほしい。これは、データ漏えいが発生した際の対応を定めていなかった企業の話である。例を挙げると、誰に対して連絡を行うのかを決めておくことは、自主的に行うか、あるいは法律に従って行うかにかかわらず、平常時でも簡単なことではない。つまり、データ漏えいの対応に追われている最中は、誰に連絡すべきかなど考えられるような状況ではないということだ。
このため、自社のニーズを満足できるようなデータセキュリティポリシーを事前に作成しておくべきである。前述のChronology of Data Breachesには、こういったことに関する有益な情報が数多く掲載されており、連邦政府や州政府のリソースへのリンクも提供されている。
最後にもう1つ、重要なティップス
あまり知られていない事実であるが、データストレージや業務機能をアウトソーシングしている企業のデータがアウトソーシング先から漏えいした場合であっても、最終的な責任はデータセンターやクラウドプロバイダーではなく、当該企業が負うことになる。このため、サービスプロバイダーを検討する際には、クラウド上に何を、どういったタイミングで格納するのかを慎重に決定しておく必要がある。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。