【連載】
情報漏洩100％対策──あらゆるリスク、ケースを徹底検証

第1回情報漏洩対策の根本を考える

（2006年03月03日）

漏洩して困るのは個人情報だけではない

　一般に、企業が消費者の情報として守らねばならないのは「個人情報」に分類されるものだが、個人情報だけが価値を持っているわけではない。今年4月、いわゆる「個人情報保護法」の全面施行がスタートしたが、同法に備えるべく、昨年辺りから、情報漏洩対策と言えば、個人情報を守ることに特化したものが目立っている。だが、企業において守るべき情報は個人情報のほかにもたくさんある。守られていて当然だった情報であるがゆえ、スポットが当たっていないのかもしれないが、個人情報以外の情報の価値はいまだに低く見積もられている場合が少なくない。

　企業における重要な情報なのにしかるべき対策が施されていない例としては、株式のインサイダー取り引きがわかりやすいだろう。Aという会社が画期的な新製品を販売することを事前に知って、その製品が発売される前にAの株式を買い付けて株価が上昇してから売ること、もしくは、Aの顧客とのトラブルなど経営にかかわるネガティブな情報を事前に知り、それが露呈する前に株式を売ることは、インサイダー取り引きに当たる。

　企業における社外秘の情報（＝情報漏洩によって得た情報）を利用するということ自体、会社員ならばそれを実行する機会が巡ってくることはあるだろう。事前に情報を知ることができる者が株を売買することは禁じられているが、第三者を装ったり、知人である第三者に行わせたりすることは不可能ではない。しかし、実行したら間違いなく情報漏洩となる。インサイダー取り引きならば、職権を乱用した情報漏洩となるし、第三者に漏らした場合は情報漏洩の何物でもない。

　また、株式の取り引きでなくても、ライバル企業の新製品情報を不正に入手し、意図的に“カウンター情報”を発表してそのインパクトを低下させることもできるし、剽窃することもできよう。つまり、漏洩した情報のその後については、実例を挙げていけばきりがないことがおわかりいただけるだろう。

　繰り返しになるが、個人情報だけを守れば情報漏洩対策になるわけではない。個人情報保護法の完全施行は、あくまで企業における情報利用のあり方を見直す一機会としてとらえ、企業における情報全般の価値を正しく認識して漏洩対策を確実に行っていくことが重要である。

情報漏洩のリスクは経路にあり

　冒頭で、情報が移動したときに価値が生まれると述べたが、この情報の移動時に情報漏洩のリスクが生まれることになる。換言すれば、情報漏洩のリスクは情報の伝送経路に必ず存在するのである。したがって、情報漏洩対策の具体的なプランを立てるにあたっては、情報がどこからどうやって漏れるのかということを事前に想定する必要があるのだ。

　この「どこから」「どこへ」「なぜ」を簡単にまとめたのが（図1）である。この表からおわかりいただけるように、「所有者または正当な利用者から正当な利用者以外への情報の伝送はすべて情報漏洩である」という認識が甘いことが、事故の引き金となっていると言えよう。

図1：情報漏洩の経路

　情報の伝送手段としては、ネットワークによるオンライン／電子媒体、紙媒体によるオフラインが考えられるが、オンラインによる場合が最も情報漏洩のリスクが高い。多少偏りはあるものの、3つの伝送手段の特徴を表2にまとめてみた。

表2：情報の伝達（漏洩含む）手段の特徴

　機密保持の観点から見た場合、ネットワークが決して完璧ではないことがわかるだろう。そもそも、ネットワークの存在意義は情報を瞬時に移動できるところにある。そのため、電子情報の特徴である汎用性を考慮して情報漏洩対策を行わないと、機密保持を実現することは難しい。つまり、言うまでもないことだが、ネットワークの不備は、即刻、情報漏洩につながると言える。したがって、ネットワークに対しては非常にシビアな情報漏洩対策を施さねばならない。

　さて、情報漏洩対策を進めていくうちに、実際には、テクノロジーを駆使した“対症療法”だけでは足りないことに気づくことになろう。そこで、情報の管理の徹底が求められることになるのだが、これをネガティブにとらえると情報統制とも表現でき、理想の情報漏洩対策とその弊害のバランスに苦しむこととなる。そこで、改めて考えなくてはならないのが、情報伝達時の「信頼関係」である。この信頼関係について、次節で説明しよう。

前のページへ < ｜1｜2｜3｜ > 次のページへ