過去の個人情報漏洩事件で対策を考える

今回は、過去に発生した個人情報漏えいを教訓として、このような事件を発生させないように考えます。
もしも、今は関心を持てないのであれば、痛みを感じた時、ヒヤッとした時に、思い出してください。

1.事件概要と影響

2014年に通信教育会社が保有する個人情報が不正に取得され、個人情報が名簿業者に約3,504万件売却された事件を題材とします。
この事件を起こした従業員は、刑事訴訟で懲役2年6月及び罰金300万円の判決が確定しました。また、通信教育会社は民事訴訟で損害賠償請求が起こされています。
2015年3月期のセグメント別売上高で前期より337億円(13.2%)減少、情報漏えいに伴う情報セキュリティ対策260億円を特別損失に計上となっています。

顧客DBにアクセスできる貸与PCに私物のスマートフォンを充電目的で接続した際、スマホにデータをコピーできることに気付き、不正(USBに接続されたスマホに個人情報を保存)を始めたということです。

2.不正を予防する

ここでは不正を予防することを考えていきます。

不正リスク要因は、不正を実行する「動機」やプレッシャー、不正を実行する「機会」、不正を「正当化」する事象や状況と、いわれています。これらの要因を抑えていきましょう。(例えば、「監査における不正リスク対応基準の設定について」に記載があります。)

この事件の動機がギャンブルによる借金の返済だとしても、借金の有無を把握するのは難しいですが、リスクの高い業務を担当している人に対しては、能力や経験だけでなく、その人の信用も評価することが必要になります。
また、個人情報を扱う業務は、担当者自身にとってもリスクが高くプレッシャーが強くなります。そのプレッシャーを適度な状態に抑え、自社に好意を持てる環境づくりが望まれます。

不正の機会を減らすためには、リスクの高い作業は2人1組を必須とし、実作業を社内の担当者、もう1人に立ち合いをさせることが考えられます。
例えば、
・担当者にデータベースにアクセスするためのアカウントを持たせ、立ち合い者には起動前認証アカウントや2段階認証を持たせるといった、2人が揃って初めて作業が行えうことができる状態にする。
・担当者とシステム管理者および立ち合い者でログを監査する。
といったことが考えられます。
実作業は社内の人間が好ましいでしょう。立ち合いは独立性と専門性の観点でより信頼性を高めるのであれば、社外のICT・セキュリティ・個人情報の専門性の高い人が望ましいです。

悪意を持った不正のほかに、重過失を防ぐことも考えます。
個人情報のリスクは高いため、効率化よりも最適化を重視した、誠実な人が望ましいです。

3.不正行為を抑える

不正行為が実行されるの発見を4段階に分けて考えます。

(a) 正当な行為に必要な機能のみに制限する。(ホワイトリスト方式)
ここでの注意すべき状態は、正当な行為のために許されている機能のみで、不正を実行できる環境が成り立つ場合です。例えば、USBメモリにデータを保存し、加工して他のデータベースに移す業務があったとします。このUSBメモリの不正利用を防止するためには、他の機器で利用できないような制限機能を有するUSBメモリを使用するなどの対策が必要になります。

Windowsの機能追加のように、新しい機能が追加されるバージョンアップは、事前に不正利用されるリスクがある機能の有無を確認し、必要であれば制限しましょう。その時、一時的に自動的にバージョンアップしない決定も必要になる場合がありますが、不正対策や脆弱対策を適用できないリスクもあるので、実務環境を含めて重要性を判断しましょう。

(b) 持ち出される前に防ぐ
この事件のように物理的にスマホを接続して持ち出しを行っている対策としては、作業前後に不要な機器が接続されていないか目視で指差しチェックすることも有効です。用途によっては、必要のないUSBや通信機能を物理的に利用できないように処置してしまうことも考えましょう。
また、情報の扱い方次第で、IRM/RMSを用いるのも有効な手段と成りえるかもしれません。

(c) 不正発生による被害に気づきやすくする
この事件では、顧客から通報で発覚しています。
これを疑似的に再現するのであれば、ダミーと判別できない状態で固有の情報を持たせた情報に混ぜることが考えられます。
情報が文書であれば、透かしを入れることも手段になります。持ち出した人物を特定することが容易な情報が埋め込まれ、情報を不正に持ち出されたことが明らかである透かしがあれば、その情報を持ち出し受け取ることは躊躇われるでしょう。

(d) 不正発生が見つからなくても不正について考える
地震や火災のように必ず気づくことができるリスクに対して、情報に関するリスクは気づくことが難しい場合がほとんどです。
例え、不正に気付くことができなくても「気づこうとする」姿勢を見せることは、不正を行う機会を減らすことになるので、自組織全体で不正について考えましょう。

4.金銭的な損失を抑える

保険は、損害を和らげることができます。
但し、保険は直接的に対策にならないので、実際に個人情報を扱っている自社での対策が基本です。

5. 自分の個人情報を預けるときの工夫

ここでは自分が個人情報を預ける側となる場合の工夫をあげます。
個人情報を預けた本人ができる対策は多くありませんが、登録毎に固有のメールアドレスを設定することが考えられます。
固有のメールアドレスに、本来の用途以外で個人情報が紐づいている場合は、何らかのリスクが顕在化している可能性があります。但し、自分自身の過失で情報を漏洩させてしまっている可能性もあるので、決めつけをせずに対応してください。

6.自分への言い聞かせ

個人情報の話をすると、「知らない」「分からない」と返事する人がいます。
日本の法律なので、「言われてなくても」「忙しくても」必要であれば、過不足や誤りがあったとしても、関心を持ちたいものです。