各対策が行き届いていない部分は当然ながらリスクであり、管理者の良心で守られていると言い換えられる。それが一度管理者の「出来心」、もしくは今回の年金機構のケースのように「悪意のない」業務ウェブおよびメールアクセスにて侵入されてしまえば、本人の意図するところでなくても情報は漏えいしてしまう。
平たく言えば、業務効率を重視しすぎて「内部」の情報管理体制がそもそも統制とれていない状況で、「外部」から最新の標的型攻撃が来ることを想定した対策がとれていないため、内側も外側も脆弱な企業だらけということである。
このような現状に対し、一気に高度な情報管理を求められても、企業側の認識も対応も追いつかないことが問題である。
とはいいつつも、「特定個人情報の取扱に関するガイドライン」の中でよく引き合いに出される「安全管理措置」については、以下ハイライトにもあるように番号法と個人情報保護法、そしてその関連ガイドラインを順守しなければならない。かつガイドラインに記載の例示はあくまで一例であり、各事業者側にて「適切な手法」を採用することとしている。
出典:特定個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」より抜粋
実際にガイドライン中の例示をご覧いただければ分かると思うが、年金機構で見られたような問題や、最新の脅威に対する対策というものについては欠けているため、冒頭述べたようにこの部分については今後見直しがかかると予測される。
といっても、現在設けられている罰則を緩和する方向には、まず向かうわけもなく、事業者は今回の年金機構の事件を真摯に受け止め、自社内の情報管理をまず見直すための機会を得たと考えるべきだ。
第2回では、番号法ガイドラインの要点と企業が直面する今回のような最新の脅威への対応についてポイントを絞って解説する。
- 髙岡隆佳
- ブルーコートシステムズ合同会社 データ・セキュリティ・スペシャリスト セキュリティ業界で約15年の経験を活かし、Web環境からデータベースをとりまく包括的な標的型攻撃対策製品を担当。企業が直面するセキュリ ティリスク、対策、課題に精通している。データベース・セキュリティ・コンソーシアム(DBSC)の運営委員として、データベース・セキュリティ の技術向上、その普及を推進。現在「DB内部不正対策ワーキンググループ」のリーダーを務める。
