2005年が明けたばかりだが,情報漏えい対策を進める担当者は,のんびりとはしていられないだろう。個人情報保護法の完全施行を4月に控えて,いよいよ時間がなくなってきた。
この年末年始にも自動車販売店,保険の代理店,通信販売会社で,顧客情報の漏えいが明らかになった。また,あるテーマパークでは年明けに顧客情報の漏えいの可能性を発表した。いずれの企業もWebサイトには個人情報の管理に関する方針が掲載され,「紛失,漏えいを防止」をうたっているにもかかわらずである。情報漏えいを完全に防止することがいかに難しいか,これらの事件は物語っている。
パソコンの盗難で情報が漏れる
この年末年始に,2004年1月から12月までに報道があった48件の情報漏えい事件を改めて見直してみた。これらの中にはテレビや一般の新聞で大きく報道された有名企業のものもあれば,高校や中学校で生徒の個人情報が漏えいした事件も含まれている。必ずしも漏れた情報が悪用されたわけではない。しかし情報の紛失,盗難であっても,影響の大きさは変わらないだろう。
48件の漏えい事件のなかで最も多かったのが,車上荒らしでノート・パソコンやフロッピ・ディスクが盗まれ,情報が漏えいしたケースである。情報漏えい対策というと,情報システムの正規ユーザーによる内部犯行や社外からの不正アクセス対策に注目しがちだが,意外にも48件中,約3割を占める14件が車上荒らしによるものだった。
特にパチンコ店に駐車した車から盗まれる,というケースが目立った。パチンコ店へいったん入店すると,しばらくは出てこない。車上荒らしの犯人からすると狙いやすいのだろう。最低限の対策として,車外から見える場所にノート・パソコンなどを置かないようにしたい。
情報漏えいの原因として2番目に多かったのが,会社や事務所などからパソコンが盗まれるケースで,11件あった。犯人はパソコンを単に「金目のもの」として見ているかもしれないが,企業にしてみればパソコン1台を盗まれただけで,信用を揺るがす大問題となり得る。社内に設置しているパソコンに対しても,物理的なロックなどを施す必要がありそうだ。
社内だけでなく,社外のパソコンが盗まれた例もある。ある保険代理店では,役員宅へ泥棒が入り,顧客情報を保存したノート・パソコンが盗まれた。住宅販売会社では,分譲マンションの販売センターに設置していたパソコンが盗まれて,来場してアンケートに答えたり,資料を請求したりした人の氏名,住所,電話番号が漏えいした例もあった。
3番目になってようやく,データの不正持ち出しによって情報が漏えいしたケースが出てくる。件数が少ないのは,パソコンの盗難による情報漏えいとは異なり,発覚しにくいからかもしれない。具体的には,業務委託先の担当者が不正に持ち出したデータが漏えいしたケースや,資料としてプリントアウトしたものが不正に持ち出され,漏えいしたケースがあった。
4番目以降の原因は,それぞれ1~2件程度と少ないものだった。Webサイトの不具合で個人情報が外部から閲覧できてしまった例,メールの誤送信,記憶媒体の紛失,リースしたパソコンを返却するときにデータを消し忘れた――という例があった。
活用しながら守る難しさ
情報漏えい対策は,第1に「何が重要か」を定義し,ガードを固めるのが一般的な手順である。だが情報は活用してこそ,価値が出るもの。顧客情報はマーケティング活動に欠かせないし,業務を低コストで処理するために,外部委託することも当然ある。情報漏えい対策の本当の難しさは,「情報を活用しながら守る」という点にある。
この相反する要求を満たすには,クライアント・パソコンを含めた情報漏えいの防止をシステム的に考えることが避けられない。さらに最近では,情報を収集,管理する方法を根底から考え直す必要がある,と言われるようになってきた。情報を持つこと自体が漏えいリスクにつながることから,捨てる決断も重要だ。
顧客分析に使う情報は,性別や年齢などの属性情報だけを残しておき,氏名,住所などは削除しておく,といった方法も有効だろう。外部委託する際には,情報保護の誓約書を取り交わすだけでなく,委託先で情報がどう扱われているか,管理体制まで確認すべきだ。
いずれにせよ「パソコンは盗難に遭う」と認識し,物理的にパソコンが持ち去られることへの対策は,最優先で取り組むべきものの1つとして考えてほしい。
(坂口 裕一=日経Windowsプロ)