【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
【連載】
情報漏洩100%対策──あらゆるリスク、ケースを徹底検証
第1回 情報漏洩対策の根本を考える
(2006年03月03日)
2年ほど前より、企業による個人情報の流出事故が相次いでおり、情報漏洩が与えるインパクトの大きさについてはことさら言うまでもないだろう。さらに、今年4月には個人情報保護法が完全施行され、大半の企業にとって個人情報を保護することは今や義務となっている。ただし、企業にとって守らなければならない情報は個人情報だけではなく、情報漏洩事件や個人情報保護法だけにとらわれていては、真の情報漏洩対策を講じることは難しい。本連載では、さまざまな観点から、企業における“完全無欠”の情報漏洩対策について検討していく。
黒澤遠矢
情報化社会の功罪
世の中にはさまざまな情報があふれているが、いずれも何らかの価値を持っており、それは情報が所有者から利用者へ移動することによって生み出される。ただし、情報が不正な利用者に移動したり、もしくは、しうる状態にあったりする場合には、価値の創出も正当に行われない。本来、秘匿すべき(利用者が制限されるべき)情報が不適切な対象の元に伝送されると、その価値も当然、不適切な対象にもたらされてしまう――「情報漏洩」とは、このように情報が正当な利用者に伝わらない現象のことをいう。
社会の情報化が進むと、情報の価値、対価は上昇する。そして、情報に価値を見いだす人が増えるにつれ、さらに価値が上がっていく。こうして価値が高まった情報が、ある日突然、不当な利用者の手に渡ってしまったとき、発生する損害は有形無形合わせ甚大なものとなる。昨年1年間に報道された情報漏洩事故の数々を思い出していただきたい。なかでも、ISP会員470万件、信販カード200万件といった大規模な個人情報漏洩事故は大問題に発展している(表1)。
| 表1:2004年に国内で報道された主な情報漏洩事故の例 |
 |
ご存じのように、今はブロードバンド時代であり、情報が漏洩し、拡散するスピードは数年前の比ではない。また、それだけ情報が有する価値が大きかったのである。
そして、コンビニエンス・ストアによる個人情報流出や通信販売業者による名簿流出もあった。これは、消費者に対して、情報漏洩事故が企業間や国家間のスパイ活動のような縁遠い出来事ではなく、「明日にでも自分が被害にあう可能性のある事故」という認知を促すきっかけともなった。
実のところ、ささいな情報の漏洩・流出はだれしも経験しているはずだ。例えば、複数人に同一の電子メールを送信する際、宛先を伏せるために「BCC:」欄に入力するつもりが、誤って「CC:」欄に入力してメール・アドレスを流出させてしまうといった事故は、ありがちなケアレス・ミスとして認識されているのではなかろうか。
しかし、現在では、メール・アドレスの流出と言えど、そこから引き起こされうる事故の可能性を考えると、単なるミスでは済まされない。カード番号が漏れた事故からは、不正に預金を引き下ろされるといった金銭上の被害が発生している。一例ではあるが、毎日情報漏洩が頻発しているインターネット上の匿名掲示板を見ると、すでに人々は個人情報を「財産」と認識しはじめており、悪い意味での情報の対価の上昇が進んでいるようだ。
情報漏洩事故における消費者に対する責務
上述のように、情報の対価がよい意味でも悪い意味でも高まった今日、情報漏洩事故で被害を被った消費者に対して、企業は当然、十分なフォローを行わなくてはならない。この、消費者に対するフォローは、「説明責任」という言葉で表されることが多いが、情報漏洩事故を起こしてしまった以上、最終的に被害者を納得させなければ、解決したことにはならない。「頭を下げる」「補償をする」という行為は、あくまでもそのための手段にすぎず、最終目的ではないのだ。昨今のITに深く関係した情報漏洩について、必ずしもITを理解しているとは限らない消費者にフォローを行い、理解を取り付ける――これがいかに難しいことかは言わずもがなだろう。
正当かどうかは別として、現在、個人情報が漏洩した場合は、消費者に対して1人当たり500円から1,000円の「お詫び料」を送るのが、半ば“常識化”しつつある。数百万人の情報を漏洩してしまった場合は、かなりの損害となり、さらには、企業イメージや信用の低下、サービスの改善に要する手間とコストなど、最終的な損害は計り知れない。
そもそも、この“お詫び料”はあくまでも企業としての“誠意”を妥当とされる金額に置き換えたものであって、情報の対価ではない。司法の場での判例がまだ少ないため、法的な根拠を基に情報の対価を算出することは難しいが、民事裁判で補償が争われた場合、損害補償どころか会社の存続も危うくなりかねない。
なお、会社の存続という意味では、情報漏洩事故による被害が実際には消費者に及んでいない場合もこの原則を外すことはできない。なぜなら、信用という価値を維持するためには、社会に対して説明責任を果たす必要があるからだ。
漏洩した個人情報の悪用例
次に、個人情報漏洩事故に巻き込まれた際の損害について具体的に考えてみたい。第1の弊害はもちろんプライバシーの侵害だが、ここでは、どのように悪用される危険性があるかについて検討する。個人情報の悪用には実にさまざまなパターンが考えられ、その実行もたやすい。
まず、クレジットカードの番号と有効期限さえわかれば、大抵の通信販売は利用できてしまう。また、名簿を悪用して総当たり方式で行うのが、「振り込め詐欺」や「架空請求」だ。これらの場合、名簿に書かれた情報が詳細であればあるほど、詐欺が簡単に行えてしまう。実際、現在、世間を騒がせている振り込め詐欺は、「オレオレ詐欺」が話題になったころから比べ、手口が格段に巧妙化している。例えば、対象者が車を所有している場合には交通事故を装い、また離れて暮らす血縁者がいる場合にはその人物をかたるなど、対象者の実生活に即した口実を用いているのだ。
今のところあまり問題視されていないが、子供が産まれて幼児用教材の案内が届いたのを皮切りに、子供の年齢に応じてさまざまなダイレクト・メール(DM)を受け取った経験のある方も少なくないだろう。DMの送付サービスにでも登録していないかぎり、それは十中八九、情報漏洩による現象である。
筆者も就職活動時に自分から請求していない資料が届き、不気味な思いをした経験がある。結果的には、漏洩したデータの間違いが特徴的なものだったことから、大学の同級生が漏洩元だと突き止めることができたが、正直なところ、あまりよい気持ちはしなかった。こうした不要なDMの受け取りも、個人情報の漏洩によって受ける損害の1つである。
DMと言えば、近年、迷惑メールとして世界中で問題視されているスパム・メールがある。流出したメール・アドレスのリストなどを用いて一方的に送信されるスパムは、その内容に関心のない消費者にとっては迷惑の何物でもなく、明らかに損害の1つである。今では、スパムも手口が巧妙化しており、フィッシングを目的とした詐欺メールであることが少なくない(注1)。ただし、フィッシング・メールも無差別に送りつけられたものについては、受信した消費者とは無関係な情報の入力を要求されることになるため、それほど問題にならない(例:開設していない銀行口座の暗証番号の入力を要求される)。とはいえ、迷惑メールであることに変わりはない。
注1:フィッシングとは、正当な問い合わせを装って、クレジットカード番号な
どの個人情報を盗み取る手段。Webサイトへ誘導して、個人情報を
フォームに入力させるパターンが多く、Webブラウザのセキュリティ・ホ
ールを悪用してURLを偽装するなど手口が巧妙になってきている
