内部不正に対する包括的なセキュリティの枠組みについては、情報処理推進機構(IPA)から2014年9月に公開された「組織における内部不正防止ガイドライン」が非常にバランスよくまとまっている。このガイドライン自体、今年の個人情報保護法改定において、「参考にすべきガイドライン」として引用されている。
責任者の任命と機微情報に対する取り扱い制限および取り扱う人間に対する対応(IPA提供)
その内容は、番号法ガイドラインで言及されている各安全管理措置にもリンクする部分が多い。具体的には、(1)責任者を中心として情報を利用する部門の認識・監督・報告体制を敷くことと、(2)物理的・技術的・人的な管理および、事後対策までを含んだ社内体制の見直しである。日本の企業に多い、「管理者まかせ」な情報管理を一から正す対策内容となっている。
特に事後対策に関しては、対策を講じている企業はかなり少数であると思われるが、今後マイナンバーの情報が万が一漏えいしてしまったような場合、そのインパクトは大きい。また、情報漏えい事件に対する内部調査が行われた際に、企業側で情報管理の実態や被害の範囲を把握できないと、損害賠償や罰金罰則が過度にのしかかってくるリスクがあるため、下記にあるような事後対策を踏まえたサービスないし監視体制を、マイナンバーを利活用するセグメント、部署に適用することが重要となる。
「フォレンジック(forensics)」は日本においてまだ聞きなれない言葉かもしれないが、訴訟大国である米国では、ITにおける情報漏えい事件が発生した場合、法廷で求められるのは「ログ」ではなく、「フォレンジック分析」の結果である。もはや、ログだけでは事件の原因や影響範囲を可視化できないことは明白で、「監視カメラ」となる製品やサービスを、管理者に対する抑止力として導入する企業が増えてきている。
知らないうちに社内に入り込んだマルウェアなどの怪しい通信も検知することができるため、内部不正に限らず、広い意味での事中・事後対策として活用される技術である。事件発生後、今まで釈然としなかった「いつ」「だれが」「どこまで」「どのようにして」データを持っていったのかを、限りなく再現することができ、証拠として利用できるものである。
しかし本来であれば、抑止せずとも管理者側が扱う情報の重さについて正しく認識し、職務に従事することが望ましい。また同時に人的ミスやシステム上の穴がないよう、技術的な制御も重要であり、それらが機能していることを定期的に確認するためのスキームとして、十分な監視と監督が求められる。このバランスがとれた体制こそが、内部不正に強い組織といえよう。
