| 情報漏えい問題is22ベネッセから見る問題点と対応策 |
| 今回のベネッセの名簿流出は一過性の出来事か!日常的な事か!防ぐ事はできるか!について、整理してみた。参考になればハッピーです・・・ |
| ■情報は絶えず盗まれている |
| ・名刺交換もしていないのに、知らない所からダイレクト・メールが届く。メールが頻繁に来る。日常起こっている第三者からのアプローチ。 |
| タウンページ等から抜粋し、自社で一から客先名簿を作る様な泥臭い作業をする企業は数少ないと思います。どこからか名簿を入手していると |
| 考えるのが普通でしょう。今回の様に情報源が明確になるケースは本当に稀だと思います。通常は情報漏えい源は特定しにくい。 |
| ■情報漏えい(流出)のし方 |
| ・昔は名簿等を紙でコピーし持ち出す。今は、保存もコンピュータ(データ・ベース)になり、そこからの流失が一般的。 |
| その手法は外部からのウイルス等による持ち出し、内部の者による複製コピー(媒体USB等)、PCの持ち出しによる外部流失等である。 |
| 大半の情報の漏えいは意識的にコンピュータから抽出したものと考えられる。PCを操作(利用や管理)をしている以外の者は安易に持ち出ししにくい。 |
| システムや内容を知っていなければできないからである。 |
| ■情報の中身と価値 |
| ・情報は金銭的価値が有り、取引の対象になる。又、特定分野の情報程その価値は大きい。企業が知りたい情報が安易に入手できるから当然需要も |
| ある。情報のターゲットは名簿(単なる名簿、特定業界、取引先、ほか)、経営情報、取引内訳、個別情報などである。 |
| ■情報漏えいの防御の可否 | ||||
・PCの持ち出しやウイルス等による外部からの進入・持ち出しはそれなりの対応で防御しやすい。内部からの流出についてのみ分析・・
| システムの利用者からの流失 ⇒ 一般的には出力形式で完成された範囲(帳票・検索完成された情報)、社員が中心に利用、出力履歴等を組み | 込む事で一定のレベルの管理は可能 | ・システムの管理側(開発やサポート)からの流失 | ⇒ 実際には、どんな歯止めも難しいと思われる。ログ等での管理も、日々使用の要否をチェックは不可 | |
| ■情報漏えいの防御のし方 |
| ・大きな需要がある限り法律云々より情報を持っている側で管理防御しなければならない。現実的な具体策について考えてみる。 |
| ・情報流出は誰がする・・・自社の社員か!、他社社員か!⇒ 自主的にするのは大半が外部社員 ⇒ A |
| ・何時の時点・・・日々の業務か!システムの管理・開発か! ⇒ 多くの場合、業務時点ではしにくく、管理や開発時点が大半 ⇒ B |
| ・具体的な防衛策・・・A、Bを最小限にする ⇒1、データ管理する場所を物理的に自社管理できる場所にする。2、開発時のデータはデータ(本物) |
| を使わない環境にする。3、システムの維持管理者は自社又は子会社までの社員(自社責任で採用した人材)とする。4、開発時等の例外的対応は |
| 必ず立会いする。 **ポイントは"会社”に対して少しでも『自社の情報は財産』の状況で運用する事が大切。** |
| ■システムの利用の歯止め |
| ・情報の管理に限界がある以上、他人に管理を委託してはいけない分野もある。(普通、情報漏えいは実質的なダメージが有り、利害が発生するが |
| 影響が殆ど無いものもある) |
| ・例えば、病院関係の患者情報、学校関係の生徒情報等は作業軽減メリットがあっても漏えいで実質的損失は考えにくい。 |
| ・補足・・先日、街の医者に行き、調剤薬局に行った。どちらもクラウドのシステムを導入していた。情報漏えい問題の危険は無いの?と質問した。 |
| ”絶対無い”と断言された。漏えいしたら何て言うのだろう?そして、責任は誰が取るのだろうか? |
| ■法律の対応範囲(実践的範囲)・・・できる限界(案) | |
・外部委託できない業種・・・漏えいした場合、実質的に殆ど委託者(当事者)本体にダメージがない業種の制約。
| ・二重派遣の制約・・名簿情報の取扱のサポート(管理業務)委受託は派遣元社員(正社員)に限定。 | |