編集部からのお知らせ
新着の記事まとめPDF「NTT」
おすすめ記事まとめ「MLOps」
マイナンバーから考える内部不正防止のコツ

マイナンバ―制を機に考える、内部不正を防止する安全管理措置 - (page 2)

髙岡隆佳

2015-08-10 07:00

 内部不正に対する包括的なセキュリティの枠組みについては、情報処理推進機構(IPA)から2014年9月に公開された「組織における内部不正防止ガイドライン」が非常にバランスよくまとまっている。このガイドライン自体、今年の個人情報保護法改定において、「参考にすべきガイドライン」として引用されている。


責任者の任命と機微情報に対する取り扱い制限および取り扱う人間に対する対応(IPA提供)

 その内容は、番号法ガイドラインで言及されている各安全管理措置にもリンクする部分が多い。具体的には、(1)責任者を中心として情報を利用する部門の認識・監督・報告体制を敷くことと、(2)物理的・技術的・人的な管理および、事後対策までを含んだ社内体制の見直しである。日本の企業に多い、「管理者まかせ」な情報管理を一から正す対策内容となっている。

 特に事後対策に関しては、対策を講じている企業はかなり少数であると思われるが、今後マイナンバーの情報が万が一漏えいしてしまったような場合、そのインパクトは大きい。また、情報漏えい事件に対する内部調査が行われた際に、企業側で情報管理の実態や被害の範囲を把握できないと、損害賠償や罰金罰則が過度にのしかかってくるリスクがあるため、下記にあるような事後対策を踏まえたサービスないし監視体制を、マイナンバーを利活用するセグメント、部署に適用することが重要となる。


 「フォレンジック(forensics)」は日本においてまだ聞きなれない言葉かもしれないが、訴訟大国である米国では、ITにおける情報漏えい事件が発生した場合、法廷で求められるのは「ログ」ではなく、「フォレンジック分析」の結果である。もはや、ログだけでは事件の原因や影響範囲を可視化できないことは明白で、「監視カメラ」となる製品やサービスを、管理者に対する抑止力として導入する企業が増えてきている。

 知らないうちに社内に入り込んだマルウェアなどの怪しい通信も検知することができるため、内部不正に限らず、広い意味での事中・事後対策として活用される技術である。事件発生後、今まで釈然としなかった「いつ」「だれが」「どこまで」「どのようにして」データを持っていったのかを、限りなく再現することができ、証拠として利用できるものである。

 しかし本来であれば、抑止せずとも管理者側が扱う情報の重さについて正しく認識し、職務に従事することが望ましい。また同時に人的ミスやシステム上の穴がないよう、技術的な制御も重要であり、それらが機能していることを定期的に確認するためのスキームとして、十分な監視と監督が求められる。このバランスがとれた体制こそが、内部不正に強い組織といえよう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    アンチウイルス ソフトウェア10製品の性能を徹底比較!独立機関による詳細なテスト結果が明らかに

  2. 経営

    10年先を見据えた働き方--Microsoft Teamsを軸に社員の働きやすさと経営メリットを両立

  3. セキュリティ

    6000台強のエンドポイントを保護するために、サッポログループが選定した次世代アンチウイルス

  4. セキュリティ

    ローカルブレイクアウトとセキュリティ-SaaS、Web会議があたりまえになる時代の企業インフラ構築

  5. 運用管理

    マンガでわかるスーパーマーケット改革、店長とIT部門が「AIとDXで トゥギャザー」するための秘策

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]