1.情報漏洩事故の発生状況
今年の4月に個人情報保護法が全面施行されてから早くも4ヶ月が経過しまし
た。その間、ほぼ毎日、情報漏洩事故が新聞・TV・インターネット上のニュース
となっています(文末の紹介サイトを参照)。これは予想よりかなり多い件数で
あり、個人情報保護法がこれまでは不明瞭だった事故を明確にしたと言うことが
できます。個人情報保護法は企業または団体に対して事故の一般公開を義務づけ
ていませんので公開はあくまで企業の自主判断となりますが、企業の活動に透明
性が求められている近年の時勢では、個人情報保護法で問題とされる事故を公表
しないと顧客や株主に見放される可能性があります。よく言われることですが、
情報セキュリティは経営上の重大な問題であり、企業の社会的責任(CSR)と
なっています。事故の多くは大企業や官公庁によって公表されていますが、中堅
中小企業においても公表されない、規模のあまり大きくない事故が高頻度で発生
していると考えられます。
2.情報漏洩事故の原因と規模
事故の原因を見ると、社外におけるパソコンや書類の盗難・紛失、社内におけ
る電子データや書類の行方不明(多くの場合は誤って廃棄したとされる)、ウィ
ルスへの感染(ウィルスが勝手に情報をインターネットに送出する)、メールや
FAXの誤送信や郵便の宛先取り違え、不適切なゴミの廃棄(個人情報を含む文
書の入ったゴミ袋を放置)、故意による情報流出など多岐多様です。特に多いの
は、車上荒らしや置き忘れなどによって、社外でパソコンや書類が盗難されたり
紛失するケースです。映画に出てくるような、高度な技術を持つハッカー(また
はクラッカー)がインターネットから企業に不正侵入してデータを盗み出すとい
う事故はほとんど起こっていません。海外では、詳細は公開されていませんが、
米国のクレジットカード決済データ会社において、昨年9月から今年5月に掛け
てクレジットカードの情報が最大20万件(うち、日本国内分7万件)盗まれた
事件が大きく報道されたことは記憶にあたらしいと思います。
事故の規模を見ると、件数としては数件から数万件に渡っており、含まれる情報
の種別としては名前だけというケースから、名前と住所・電話番号を含むケース
銀行の口座番号・納税額・過去の買物の履歴まで含むケースまで様々です。また
パソコンや携帯端末の紛失・盗難の多くは、ハードディスクや電子ファイルに暗
号化対策が施されており読み取ることができないというケースです。どのような
被害のケースであれば公表すべきか、所管省庁(一般企業の場合、通常は経済産
業省)に届けるべきかについては今後の議論が待たれます。
3.今何をすべきか
個人情報保護法への対応については、全面施行の4月直前に盛んに言われまし
た。このコラムでも、2月28日に「個人情報保護法対策直前チェック」が掲載
されています。この4ヶ月間で発生頻度の高い事故の原因を考えると、以下のよ
うな対策が、職場ですぐに実践できるものとして有効であることがわかります。
(1)情報の持ち出しの管理
紙文書・電子データ・パソコンは社外に持ち出さない。業務上持ち出さざるを
得ない場合には、最低限のものを常時携帯する。個人情報などの重要情報を持っ
ているときは、飲みに行かない・寄り道しない。パソコンに起動パスワードを掛
ける。ハードディスクを暗号化して抜き取っても読めないようにする。自宅のパ
ソコンに会社のデータは絶対に入れない。
(2)情報の廃棄の管理
重要書類はシュレッダーに掛ける。フロッピーディスクなどの電子媒体にはハ
サミを入れるなどで壊す。パソコンのハードディスクは専用ソフトで消去するか
実績のある廃棄サービスを利用する。
(3)OA機器の利用時の注意
FAX送信時には宛先に間違いが無いかを必ず確認する。コピー機・FAX・
プリンターに書類を放置しない。
上記の事項は、業務委託などで重要情報を渡すことのある、子会社に対しても
実践させましょう。全社で総合的な対策を実施したり、すでにとっている対策を
見直す場合には情報セキュリティの専門家に相談すべきです。ITコーディネー
ターの中にも情報セキュリティを得意分野とする人が多くいます。
また、社外の事故事例を社内で紹介したり、自社の場合に当てはめて未然防止対
策を検討するのも有効だと思います。その点で残念なのは、公開されている事故
では企業が受けた(と予想される)損失や責任者に対する処罰内容が、官公庁を
除いてほとんど公表されないことです。企業および社員の受けた損害を紹介すれ
ば、他社事例でも真剣に捉えることができます。企業または団体に対する罰則が
定められているが、情報漏洩を引き起こした当人に対する罰則が規定されていな
いことが、現在の個人情報保護法の欠点として指摘されており、法改正が検討さ
れています。
(情報漏洩事故の紹介サイト)
月刊情報セキュリティ: http://www.monthlysec.net/
保険ドットコム~個人情報漏洩事件:
http://www.it-hoken.com/cat_aeieoieioeie.html
■執筆者プロフィール
岩本 元(いわもと はじめ)
ITコーディネーター
情報処理技術者(システム監査、プロジェクトマネージャ)
企業における情報セキュリティ対策・BPR・IT教育・ネットワーク構築
企業間電子データ交換の支援
お問合せ先:iwamoto.hajime@zeus.eonet.ne.jp
コメントをお書きください