個人情報漏えいは防げるのか

「○○株式会社、××万件の個人情報を流出。」最近このような記事をよく見かけます。実際、今年に入ってから約3ヶ月の間にすでに20件以上の個人情報漏えい事故が報道されています。なぜ今年になって急に個人情報漏えい事故の報道が増えたのでしょうか。新聞などの報道では、事業の急速な拡大やIT化に伴い取り扱う個人情報の数も膨大に増え、管理体制がそれに追いついていない企業が個人情報を漏えいしているという見解を示しています。
確かにそうした一面はあるでしょう。また、個人情報保護法案の本格施行を来年に控え、国民やマスメディアの関心度が増していることや、たとえマイナスの情報であっても、企業は情報公開と説明責任が生じるという企業倫理の要求が以前より強くなり、こうしたトラブルについての情報を隠蔽しなくなった（できなくなった）ということも、漏えい事件報道の増加に繋がっているように思えます。
このような漏えい事故頻発の影響を受け、最近顧客企業様から弊社の情報セキュリティ体制や個人情報保護体制について問い合わせをいただくことが非常に多くなりました。当社ではBS7799/ISMSやPマークを取得しているため、「ミツエーリンクスさんなら安心だ」という評価をいただけていますが、それでもこのような事故報道を目にすると、あれが抜けてる、あのプロセスが弱いということに気づかされることが多く、継続的改善のための重要なインプットとなっています。

個人情報はどこから漏れるのか

今年に入ってから報道された事故の流出経路を分析してみると、以下のようになります。母数が少なく、あまり信頼性の高いデータとは言えませんが、外部委託先による漏えいと流出経路不明が共に6件と一番多い数字となっています。

• 外部からの不正アクセス 2件
• 盗難 2件
• 内部漏えい 3件
• 外部委託先からの漏えい 6件
• 派遣社員による漏えい 1件
• 流出経路不明 6件

個人情報漏えい事故を起こしてしまった企業には、被害者の方々への説明責任が生じます。企業は漏えいの範囲、流出経路、事故の発生原因を特定し、被害者の方々へ報告しなければなりません。しかし、なかなか流出経路を特定することが困難であるということがこの数字から読み取れます。事故の報告書を見ても、社内から漏えいしたのか、外部委託先や派遣社員が漏えいしたのかがわからず、結局うやむやになってしまうことが多いようです。これでは被害者の方々が納得できる対応、再発防止策を講じることも困難です。
それでは、流出経路を特定するにはどのようなシステムが必要なのでしょうか。

流出経路を特定する

流出経路を特定するためには、以下の3つのプロセスを構築し、PDCAサイクルを絶えず回し続けることです。

1. 個人情報データベースにアクセスできる人員を最低限に制限し、把握しておく
2. 個人情報データベースに誰が何時アクセスし、どのような操作をしたのかを履歴に残す
3. アクセス制限の設定や操作履歴対する監査を定期的に行うというレビューシステムを講じる

これを全て人力で行おうとすると大変なコストですが、最近はセキュリティ関連のツールも充実していますので、ツールを導入しながら上手く運用すればさほど手間が増えるということはありません。

外部委託先からの流出を防ぐ

流出経路不明と同数の6件の流出経路となっているのが外部委託先です。弊社も顧客企業様から顧客情報収集のための業務を委託されることが多く、この点については高い危機意識を持っております。仮に弊社の顧客企業様がこうした事故に遭遇してしまったことを想定すると、弊社には委託先企業として顧客企業様への説明責任が生じます。万が一、弊社が個人情報を流出してしまった場合には迅速に事実をお客様にご報告する義務があるのはもちろんですが、弊社に落ち度がない場合にも、弊社は漏えいとは無関係だということを迅速に、かつ根拠を持って説明できるようにしたいと考えています。弊社のスタッフが謂れの無い疑いをかけられることだけは避けなければなりません。

セキュリティ教育とシステム的な防御のバランスで情報を守る

セキュリティを論じる場合、教育の重要性が度々取り上げられます。私もまったく同感であり、当社でも半年に一度は全従業員に対してセキュリティ教育を実施しています。しかし、教育をすれば漏えい事故はなくなるという考えは危険だと考えています。なぜなら、人は機械ではないのでミスがゼロになることはないし、気の緩みや出来心といった心の部分を完璧にコントロールすることはできないからです。だからこそシステム的に、バックエンドでログが取られていることや、不正アクセスをしようと思っても物理的にできない仕組みが必要となります。これは全従業員を疑っているからではなく、人がミスをしてもそれをシステム的に補えるような仕組みを作っておくことが、悪意のない従業員を守ることになるからだと思うのです。また、逆に教育を無視してシステム的な対策のみで乗り切ろうとすると、投資効率が下がり、大変不便で働きにくい仕事環境になってしまいます。さらに極度な性悪説的な考え方は従業員のモチベーションを不必要に下げかねません。このバランスをうまく取りながらセキュリティポリシーを継続的に見直し、改善していくのが企業における情報セキュリティ担当者のミッションなのではないでしょうか。