車上荒らしから個人情報を守れ!
今週は個人情報漏洩事件が目立つ1週間だった。漏洩の原因も元社員による故意からうっかりミスまで、実にさまざまだったが、特に目立ったのは「車上荒らし被害」に伴う情報漏洩だ。金融業、サービス業、電力会社などあらゆる業種で被害が発生している。
大変希なケースだが、なかには漏洩した資料が回収されることもある。しかし、紙資料もデジタルデータも複製は簡単であり、第三者へ渡ってしまった時点で、「流出した」と考えておくべきだろう。
1日に約1300件の被害
車上荒らしや車両盗難は1年間にどの程度発生しているかご存じだろうか? 警察庁の統計によれば、2003年度に発生した車上荒らしの件数は「41万4819件」だという。車両盗難についても「6万4223件」が発生している。ちょっと計算してみると、毎日約1312件もの事件が発生していることになる。これはあくまで警察庁が認知した犯罪の統計なので、実数はさらに多いだろう。
車上あらしの場合、カギをかけずに車から離れていたケースが被害のうち約26%を占めている。また、自動車盗難においても、エンジンがかかっていた、あるいはカギが社内に放置された状態で盗まれたケースが約29%もあるという。ちょっとした気のゆるみから事件が発生している。また、残りの7割は、施錠したのにも関わらず、被害に遭っていた。
被害者だけど加害者
車上荒らしによる個人情報漏洩事件では、企業は被害者でありながら、同時に加害者にもなってしまう。被害者から見たとき、車内に個人情報が放置されているなど、管理が不十分だと、批判は避けるのは難しい。
万一企業が「被害者である」といった姿勢を見せれば、「管理責任を怠りながら何を言っているのだ」と、同情されず、むしろネガティブな印象を与えてしまうだけだ。
施錠していなかったケースは問題外だが、施錠していても確実に犯罪が起こっており、誰もが巻き込まれる可能性を持っている犯罪だ。
個人情報保護という気風が高まっている現在、個人情報が一時的にでも保管される営業車内においても安全を確保することが、企業にとって大きな課題と言える。
利便性とセキュリティのバランス
社外へ個人情報を持ち出すことは、大きなリスクが伴う。しかし一方で、個人情報を持ち出さずに営業を行うというのも非現実的といえよう。
営業において個人情報を持ち出す必要がある企業では、最低でも「いつ」「どこで」「誰が」「どのような目的で」「どのように」「どのような情報を」利用するのか把握し、管理しておく必要がある。
また、リスクを減らす方法を検討すべきだ。たとえば、「本当に持ち出す必然性がある情報なのか」「(複数の情報が含まれている場合)すべて持ち出さなければならない資料なのか?」など、実際調べてみると、本来は不要である個人情報が持ち出されているケースも多い。
そのほか、「個人情報を持ち出す際には、上司の許可を必要にする」といった対処も有効だろう。また同時に社員における個人情報保護への理解も高めておく必要があるし、ルールを破った際の罰則規定なども用意すべきだ。
ただし、利便性とのバランスも重要だ。ルールが厳しくなるということは、それだけ運用が難しくなるということ。せっかくのルールも形骸化してしまえば元の木阿弥だ。現場担当者や専門家と十分話し合い、実行可能な対策を用意したい。
また、事前に情報漏洩を想定した対処も重要だ。盗難に遭っても、個人情報が実質流出しなければ、消費者からの理解も得られるからだ。
コンピュータであるならば、パスワードによるロックはもちろん、暗号化による保護は必須と言って良い。また、原資料など盗難被害に遭った際に保護が難しいものに関しては、極力持ち出さないようにするか、第三者が個人を特定できないよう工夫しておきたい。
(Security NEXT - 2004/09/13 )
ツイート
PR
関連記事
県立校向けグループウェア内で公開範囲ミス、個人情報が流出 - 三重県
イベント申込書のFAX番号を誤記載、申込情報が流出 - 名古屋市
食肉の通信販売サイトに不正アクセス - 詳細は調査中
制御機器商社でサーバ内のデータが暗号化被害 - 詳細を調査
BGPルート広告の管理ツール「GoCast」に複数の深刻な脆弱性 - アップデート未提供
「Apache Tomcat」に脆弱性 - 前回修正の不備が判明
「Apache Tomcat」に競合状態からコード実行が可能となる脆弱性
「Apache Superset」に権限外のDB操作が可能となる脆弱性
先週注目された記事(2024年12月15日〜2024年12月21日)
まもなく長期休暇、万全なセキュリティ対策で良い年越しを
