漏えいとは?/ キャッシュワン
[ 511] なぜ、情報漏えいは止まないか / SAFETY JAPAN [特集] / 日経BP社
[引用サイト] http://www.nikkeibp.co.jp/sj/2/special/09/
|
2005年4月1日から個人情報保護法が民間企業にも適用されて全面的に施行されたが、逆に個人情報の漏えい・流出は増える一方だ。この3カ月間で報道された事件は120件を超え、特に大手銀行・地方銀行などは87金融機関が350万人分もの個人情報を紛失するほどのずさんさである。同法は5000件以上のデータベースを持つ個人情報取扱事業者が対象となり、悪質な場合は刑事罰も科せられるが、企業側の個人情報に対する意識はまだ低い。 6月には約4000万件ものクレジットカード情報が危険にさらされた米カード情報流出事件があり、日本にもジワジワと影響が広がっている。いまや個人情報は世界を駆けめぐり、どこで漏えいするか誰も分からない。企業としては社員の意識の向上や取扱の日常的な訓練、およびITなどの技術によるセキュリティ対策を行った上で、漏えい事件が起きた後の事後対策を策定しておく必要がある。本特集の最後では、その6ステップを整理した。被害を最小限に押さえるためのリカバリー法として参考にしていただきたい。 個人情報保護法が4月1日に全面的に施行された以降でも、個人情報の漏えい・紛失事件が後を絶たない。この約3カ月間に報道されたものだけでも少なくとも120件を超える。特に大手銀行・地銀のずさんぶりが浮き彫りになった。 今年4月22日、みちのく銀行(本店・青森市)は「お客さま情報が記録されたCD-ROM(バックアップ用)3枚が当行内で紛失していることが判明致しました」と発表した。その際のニュースリリースでは、CD-ROM3枚に記録されている顧客情報として約131万件としている。金融機関としてはかつてない規模の個人情報流出であるだけでなく、氏名、住所、電話番号、生年月日、年齢のほか、預金残高や貸出金残高などの重要情報まで記録されていたCD-ROMが紛失したという。 金融庁は同行が規定通りに個人情報を扱わず、行員に対する教育を怠っていたとして、5月20日に個人情報保護法の全面施行後、初の是正勧告を出した(詳細は「法令等遵守態勢及び経営管理態勢の確立・強化に関する業務改善命令ならびに個人情報保護に関する勧告措置の受命について」)。 ところが、7月1日に同行がまたしても4万件近い顧客情報を紛失したことが明らかになった(詳細は「個人情報管理態勢に係わる点検結果の公表について」)。 4月1日に個人情報保護法が全面的に施行され、民間企業にも順守が義務づけられて以降でも、顧客情報の漏えい・紛失が逆に急増したかに思える。4月以降、この7月初旬までの間、毎日のように事件や事故が続き、報道されたものだけでも120件を超える。 前半はNTTデータや松下電工などの大手企業が漏えい事件を起こし、6月後半からは三井住友・りそな・UFJ信託などの大手銀行をはじめ、地方銀行や信用金庫など金融機関の情報紛失が“ラッシュ”のように続いている。7月初旬時点で公表した金融機関は数にして87、紛失した情報は350万人を超す。各行とも個人情報の記録されたCD-ROMなどのメディアを誤って破棄した可能性が高いとしているが、個人情報に対するずさんさはあきれるばかりだ。 また、4000万件というクレジットカード情報が危険にさらされる漏えい事件も米国で起き、私たちの個人情報は想像以上の危機的状態にある。 |
[ 512] 情報漏えい事件で最も多い原因は?:ITpro
[引用サイト] http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050106/154476/
|
2005年が明けたばかりだが,情報漏えい対策を進める担当者は,のんびりとはしていられないだろう。個人情報保護法の完全施行を4月に控えて,いよいよ時間がなくなってきた。 この年末年始にも自動車販売店,保険の代理店,通信販売会社で,顧客情報の漏えいが明らかになった。また,あるテーマパークでは年明けに顧客情報の漏えいの可能性を発表した。いずれの企業もWebサイトには個人情報の管理に関する方針が掲載され,「紛失,漏えいを防止」をうたっているにもかかわらずである。情報漏えいを完全に防止することがいかに難しいか,これらの事件は物語っている。 この年末年始に,2004年1月から12月までに報道があった48件の情報漏えい事件を改めて見直してみた。これらの中にはテレビや一般の新聞で大きく報道された有名企業のものもあれば,高校や中学校で生徒の個人情報が漏えいした事件も含まれている。必ずしも漏れた情報が悪用されたわけではない。しかし情報の紛失,盗難であっても,影響の大きさは変わらないだろう。 48件の漏えい事件のなかで最も多かったのが,車上荒らしでノート・パソコンやフロッピ・ディスクが盗まれ,情報が漏えいしたケースである。情報漏えい対策というと,情報システムの正規ユーザーによる内部犯行や社外からの不正アクセス対策に注目しがちだが,意外にも48件中,約3割を占める14件が車上荒らしによるものだった。 特にパチンコ店に駐車した車から盗まれる,というケースが目立った。パチンコ店へいったん入店すると,しばらくは出てこない。車上荒らしの犯人からすると狙いやすいのだろう。最低限の対策として,車外から見える場所にノート・パソコンなどを置かないようにしたい。 情報漏えいの原因として2番目に多かったのが,会社や事務所などからパソコンが盗まれるケースで,11件あった。犯人はパソコンを単に「金目のもの」として見ているかもしれないが,企業にしてみればパソコン1台を盗まれただけで,信用を揺るがす大問題となり得る。社内に設置しているパソコンに対しても,物理的なロックなどを施す必要がありそうだ。 社内だけでなく,社外のパソコンが盗まれた例もある。ある保険代理店では,役員宅へ泥棒が入り,顧客情報を保存したノート・パソコンが盗まれた。住宅販売会社では,分譲マンションの販売センターに設置していたパソコンが盗まれて,来場してアンケートに答えたり,資料を請求したりした人の氏名,住所,電話番号が漏えいした例もあった。 3番目になってようやく,データの不正持ち出しによって情報が漏えいしたケースが出てくる。件数が少ないのは,パソコンの盗難による情報漏えいとは異なり,発覚しにくいからかもしれない。具体的には,業務委託先の担当者が不正に持ち出したデータが漏えいしたケースや,資料としてプリントアウトしたものが不正に持ち出され,漏えいしたケースがあった。 4番目以降の原因は,それぞれ1〜2件程度と少ないものだった。Webサイトの不具合で個人情報が外部から閲覧できてしまった例,メールの誤送信,記憶媒体の紛失,リースしたパソコンを返却するときにデータを消し忘れた――という例があった。 情報漏えい対策は,第1に「何が重要か」を定義し,ガードを固めるのが一般的な手順である。だが情報は活用してこそ,価値が出るもの。顧客情報はマーケティング活動に欠かせないし,業務を低コストで処理するために,外部委託することも当然ある。情報漏えい対策の本当の難しさは,「情報を活用しながら守る」という点にある。 この相反する要求を満たすには,クライアント・パソコンを含めた情報漏えいの防止をシステム的に考えることが避けられない。さらに最近では,情報を収集,管理する方法を根底から考え直す必要がある,と言われるようになってきた。情報を持つこと自体が漏えいリスクにつながることから,捨てる決断も重要だ。 顧客分析に使う情報は,性別や年齢などの属性情報だけを残しておき,氏名,住所などは削除しておく,といった方法も有効だろう。外部委託する際には,情報保護の誓約書を取り交わすだけでなく,委託先で情報がどう扱われているか,管理体制まで確認すべきだ。 いずれにせよ「パソコンは盗難に遭う」と認識し,物理的にパソコンが持ち去られることへの対策は,最優先で取り組むべきものの1つとして考えてほしい。 「“安全”なプログラム判別に世界180カ国のセンサー・ネットを活用」,米シマンテックの分析担当ディレクタ 製品&サービス・ディレクトリ業務アプリケーション設計開発OS/DB/ミドルウエアサーバー/ストレージ |著作権・リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用について|サイトマップ| |
キャッシュワンのサイトです。
