【連載】
情報漏洩100％対策──あらゆるリスク、ケースを徹底検証

第5回情報を利用する「人」からのアプローチ

（2006年03月29日）

情報漏洩対策へ向けた体制づくりは急務

　本連載では、さまざまな情報漏洩対策を紹介してきたが、企業・組織において、情報漏洩対策を実施する際にはトップダウンで行う必要がある。ITに関係があるからといって、IT/IS部門の責任者が情報漏洩対策の必要性を主張しても、あまり効果はない。なぜなら、企業の生命線とも言える情報に関する最終責任者には執行権限を持つ人物こそふさわしく、企業・組織のトップが「何があっても情報を漏洩しない」という姿勢を明らかにしなければ、情報漏洩対策は成り立たないからである。

　トップの関与は、その企業・組織が情報を安全に取り扱っていることを外部にアピールするうえでも有効である。また、その取り組みの実施と進捗状況については、内部はもちろん場合によっては外部にも公開して、意見を取り入れていくべきである。開かれた運用体制こそが、完全な情報漏洩対策への第一歩となるのだ。

　なお、トップダウンで情報漏洩対策を進めるにあたっては、いま一度、組織体制を確認していただきたい。情報の取得には決裁と同等の権限が必要だと考えてよく、情報の適切な流通経路を確定するうえでは、業務上の権限に実際の行動が伴っていることを確認しなければならない。適切な人物に適切な情報を公開するようにするには、その人物の権限も厳密に定義する必要がある。

　また、ポリシーの策定にあたっては、セキュリティ上問題があると思われる業務慣習であっても、無条件に禁じるというのは得策ではない。なかには、業務の効率化に寄与している慣習もあるはずであり、業務の見直しも含めつつ、ポリシーに取り入れていくという姿勢が求められるのである。

Caution！注目の情報漏洩事件
金融機関による顧客情報紛失、287機関で678万件に──金融庁調べ

　金融庁は今年7月22日、銀行、証券、保険などの国内金融機関に対して、一斉点検・監査を求めていた顧客情報紛失に関する調査結果を発表した。同庁は、今年4月に個人情報保護法が完全施行されたのを受け、各金融機関に対して、6月末までに個人情報の管理体制について点検・監査を行うよう要請していた。

　金融庁によると、今回点検を実施した1,069の金融機関のうち、287機関が顧客情報を紛失しており、その数は約678万件に上るという。このうち、個人情報保護法が完全施行された今年4月以降に紛失したのは、5機関分、計6,092件であり、今回報告された紛失の大半は同法の完全施行前に生じていたということになる。

　紛失した資料形態は、書類が最も多く（215機関）、次にマイクロフィルム（163機関）となっている。また、紛失した理由の99％は誤りによる廃棄であり、金融機関における個人情報管理のずさんさを露呈した格好だ。また、外部に漏洩したおそれがある顧客情報は、3機関による3件となっており、紛失・所在不明および盗難による2件は未回収だという。ただし、紛失した678万件の顧客情報について、不正利用されたという報告はないとのことだ。

（月刊Computerworld 2005年10月号に掲載）

前のページへ < ｜1｜2｜3｜