前回のコラム「メールアドレスを漏えいから守る方法」では、メールアドレスという情報の重要性の見直しと漏えいから守る方法について紹介した。しかし、残念ながらどんなに個人情報保護対策を行っていたとしても、漏えいする可能性は0%にはならないものだ。
日々の対策を実施することも重要であるが、万が一漏えい事件が発生してしまった後の対処方法を知っておき、その状況になったときに確実に対応できるように危機管理体制を整えておくことが重要である。事件後の対処方法次第で個人情報漏えいを起こしてしまった企業のイメージがどれぐらい回復できるかが決まってくる。情報資産の扱いを甘く見てはならない。
個人情報漏えいが発生した後に正常な状態に復旧するまでの一般的な手順は次のようになる。
(1)リカバー担当の責任者を決定
(2)事件の事実を5W1Hで確認
(3)顧客や取引先に情報公開
(4)漏えい情報の拡散を防ぐ
(5)漏えい原因を究明し再発防止策を実施
こういった手順と並行して(3)の情報公開を行った辺りから、漏えいしたデータの該当者への賠償や法律的な問題などにも対応しなければならないが、このコラムでは賠償や法律的な問題については触れないものとする。
(0)事件の第一報
上記の手順に含まれないことであるが、漏えい事件が起こったことに誰かが気が付き、報告があったことで事件の発覚となる。その報告のパターンは主に次の3つがある。
- 漏えいした本人からの報告
- 組織内の人間が証拠を発見
- 外部からの報告
報告を受けた場合には、上長や個人情報の管理責任者に連絡することとなる。注意しなければならないのは、漏えいした情報がどんなものであっても、情報を漏えいしてしまった本人や報告を受けた人が事件の大小を勝手に判断してはならないということだ。
例えば、メールアドレスが1件だけ漏えいしたとして、ささいなことだと決めつけて報告を怠ってはならない。また、暗号化されたメディアを紛失した場合などでも、暗号化されているから問題がないと決めつけてはならない。必ず個人情報の管理責任者に報告を行う必要がある。
(1)リカバー担当の責任者を決定
管理している個人情報の責任者は組織内で決まっていると思う。しかし、その責任者は最高責任者であるため当該の事件の対応に奔走する人物でない場合が多いだろう。ここで決めるのは、今回発生した事件を沈静化し、正常な状態に復旧するために陣頭指揮を執る担当責任者である。その担当責任者がまず行うのは次の事項だ。
- 漏えい事件の関係者・関係組織の洗い出し
漏えいした情報にかかわる社内の人物や部署などを洗い出す - 対応チームの編成
洗い出した部署や人物から必要な人材をピックアップし事件解決のためのメンバーを編成する - アクションプランの立案
チームが行わなければならない仕事と担当者、時期などを明確にする
(2)事件の事実を5W1Hで確認
事件に向かい合うための準備が整ったならば、報告された個人情報漏えい事件の事実を5W1Hで表せるように確認する。ただし、この段階では5W1Hのすべてが明確になるとは限らない。ここで重要なのは、漏えい事件が本当に起きたのかということを確認することである。
- 何を(What)
何の情報が漏えいしたのか、その内容や種類と範囲など - いつ(When)
情報が漏えいしたのはいつか - どこ(Where)
どこにあった情報が/どこから情報が漏えいしたのか - 誰が(Who)
誰が漏えいを起こしたのか - なぜ(Why)
何が原因で漏えいしたのか - どのようにして、どの程度(How)
どのような事が起こって、どの程度の情報が漏えいしたのか
上記のすべての項目を外部に情報公開するか否かは別として、漏えい事件の事実を把握するためにまとめておく必要がある。また、確実な事実のものと、あくまで可能性であるものは、分けて整理すべきである。
(3)顧客や取引先に情報公開
情報漏えい事件があった旨を、何らかの形で外部に情報公開する必要がある。すべての事実を白日の下にさらすべきだといいたいところであるが、どの辺りまで情報公開するかということは、その組織のトップが決めることだ。
公開する情報には企業にとって不利益を被るものが多い。そのため、公開する情報は精査するべきである。例えば、サーバへの不正アクセスが情報漏えい事件の原因だった場合には、手口を詳細に公開することが必ずしも良いといえないことは分かるだろう。
ただし、情報漏えい事件があったという事実をもみ消したり、歪曲したりすることは論外であり、あってはならないことである。この段階で情報公開する目的は、漏えいした個人情報に記載されている人々のために、漏えいの事実を伝えることである。
(4)漏えい情報の拡散を防ぐ
盗られたものが物品や金銭であった場合には、そのものを取り返せば事態は沈静化する。しかし「情報」が盗まれた場合には、その情報が含まれた媒体を取り戻すだけでは沈静化しないことがある。特にその情報がデータとして存在している場合にはなおさらである。
漏えいしたタイミングでの情報の形態を、デジタルデータとアナログデータに区別してみよう。デジタルデータは何らかの形式のファイルであることが多く、アナログデータは紙媒体などの印刷物であることが多いだろう。
- デジタルデータ
デジタルデータは、コピーを作成しやすく流出を止めにくい。Winnyなどに代表されるPtoPネットワークでデータとして流れてしまうと、回収するのは不可能に近く、漏えいした情報の拡散を防ぐのはほぼ不可能になってしまう。
その半面、データ自体が暗号化されていたりアクセス制御された環境にある場合には、媒体は盗まれてもデータに含まれる個人情報は悪用されない可能性も高い。
- アナログデータ
アナログデータは、媒体を回収すると漏えい情報の流出をそこで止められる可能性は高い。早期に漏えい媒体を回収できれば、個人情報自体も回収できる可能性が高い。しかし、コピーされたり、デジタル化されたりする可能性もあるので、媒体を回収したからといって安心してよいわけではない。
まず、第一に漏えいした情報や媒体を取り返すことが重要である。しかし、そこで漏えい事件が解決するわけではない。漏えいしてしまった情報は流通し続けている可能性がある。漏えい事件の真の被害者である個人情報の主はいつまでも被害を被り続けるのだ。
流出してしまった個人情報のその後について触れられることは少ないが、WinnyなどのPtoPネットワークには何年も前に漏えいした個人情報データがいまなお流通しているという事実があることも知っておいていただきたい。個人情報保護法では、こういった流出してしまった後の個人情報についての扱いには触れられていない。
前回のコラムで紹介した漏えい事件後に漏えいしたメールアドレスを無効化することができるPMXのようなセキュリティ製品もあるので、こういった対策をあらかじめ導入しておくことも、企業のコンプライアンスが重視される昨今には必要なのかもしれない。
(5)漏えい原因を究明し再発防止策を実施
1度起こったことは、2度でも3度でも起こり得る。漏えい事件が起こってしまった原因を究明し、同じような原因での漏えい事件が起こらないように再発防止策を検討し、早急に実施する必要がある。
漏えい事件が起こって間もないのであれば、再発防止策に相応のコストが必要だとしても、経営者も予算を割くことだろう。時間がたつほど痛みを忘れて、根拠もなく何とかなるだろうという考えに戻って、元のもくあみになってしまう。そうならないためには、早急にプランを練り、実行に移すことが重要である。
個人情報が漏えいしないような管理体制を整えることはもちろんであるが、今回紹介したような危機管理体制を整えることも重要であることが分かっていただけたかと思う。しかし、このコラムを読んでいる方々には情報資産を守るために予算を割くべきだということが分かっていても、組織のトップや経営者が理解しないこともあってもどかしく感じることもある。すべての組織のトップや経営者が、情報管理体制や危機管理体制の重要さを知り、適切に投資すべきだと知る日はいつのことだろうか。
Profile
上野 宣(うえの せん)
1975年京都生まれ。情報セキュリティを世に広げるべく、講演や執筆活動とさまざまな方面で活動中。近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.