個人情報をはじめとする重要情報は何らかのITシステムに保存されていることが多いため、IT担当者だけに責任を押し付けてしまいがちです。しかし、個人情報漏えい事件に関する報道でも分かるように、情報漏えい対策は、企業にとってビジネスを左右する重要な問題です。全社的な体制で対策を考え、支援し、実効性を確保する必要があります。
オンラインストアなど、インターネット上のWebサイトで個人情報を取得/蓄積する場合は、当然ながらインターネット経由で不特定の利用者がその情報を閲覧できないように、サーバのセキュリティを確保します。
オンラインストアでは、1人1人の会員が、自分の登録情報を使って購入品の送付先を半自動的に指定したり、クレジットカードの情報を登録することで半自動的に決済ができるようになっていたりするのが普通です。また、自分の情報を閲覧し、修正できるようになっていることもあります。
ところがアプリケーションにセキュリティ上の弱点があると、こうした情報を不特定のユーザーがインターネット経由で閲覧できてしまう場合があります。
これについては別項で詳しく解説しますが、対策として、OSやアプリケーションのセキュリティパッチを確実に適用すること、システム開発の際には、セキュリティに注意したプログラミングを行うことも必要になります。
見込み顧客リストなどをずさんに扱っていないか
個人情報が含まれたデータは、企業によってはインターネットサイト以外にも、マーケティング活動の一環としてさまざまな方法で日常的に収集/取得されます。データの形式もさまざまですが、それぞれについて管理責任者を決める必要があります。
この管理者は、データを別のデータベースなどに移管するか、利用を終了してデータを廃棄するまで、不特定のユーザーからのアクセスや不要な複製が起きないように、必要な措置をとる責任を負うものと社内で取り決めておかなければなりません。
社内における特定のサーバに個人情報を格納する場合でも、利用する必要のないユーザーには閲覧できないようにすべく最大限に努力すべきです。情報漏えいは、社内ユーザーやシステム開発会社の犯行によるケースが多数あります。
まず、サーバやハードディスクドライブ、バックアップ媒体に物理的に触れたり、持ち出したりできないように、これらを隔離し、入室を限られた人に制限すべきです。USBポートやDVDドライブなど、データの持ち出しにつながるような機能を取り外す、あるいは無効化するといったことも検討すべきです。
利用するユーザーの権限を必要最小限に限定する
個人情報を格納するサーバであっても、社内ネットワークに接続されていなければデータの取り込みや利用ができません。だからといって、社内のどの端末からでもアクセスできるようになっていては、セキュリティを確保できません。個人情報を保存したサーバとの通信は、必要最低限のシステムや端末に限定します。
コールセンターなどのスタッフが顧客に対応する際、通常顧客データベースに登録されている個人情報を参照するようになっています。情報を修正したり、追加したりすることもあります。この場合も、業務上必要な情報しか閲覧できないようにするとともに、個人情報を個々の作業端末に保存することができないようにします。
営業担当者についても同様です。必要最低限の情報しか閲覧できないようにすること、そして原則的には個人情報を個人端末に保存できないようにすることが必要です。
そうはいっても営業活動の都合上、外回りで顧客データを持ち歩く必要があるというケースもあるでしょう。これについては別項で詳しく説明しますが、個人情報をはじめ、さまざまな重要情報が記録されたPCを持ち歩くことがセキュリティ上の大きなリスクであることを認識したうえで、不要なユーザーにデータを見られないような対策が不可欠です。
データベース管理者の監視や権限管理が必須
最後に対策すべきなのはデータベース管理者やシステム開発会社の要員です。データベース管理者はデータベースの全データにアクセスできる権限が自動的に与えられます。こうした人々がデータを持ち出す犯行の例は、枚挙にいとまがありません。
ですから、データベース管理者については徹底的な監視が必要です。管理権限を細かく限定する、1人ではデータの取り出しなどの作業ができないようにする、改ざんできないようなアクセスログの記録をとる、などの対策は必須といって過言ではありません。
| 関連リンク: | |
 |
じっくり考える「情報漏えい発生の理由」(前編) 雇用形態の変化と情報漏えいの実態 http://www.atmarkit.co.jp/fsecurity/special/145dlp/dlp01.html |
|
データを守るためにできること 連載インデックス http://www.atmarkit.co.jp/fsecurity/index/index_hddcrypt.html |
|
データベースセキュリティの必要性とその対策 http://www.atmarkit.co.jp/fdb/rensai/basics_rdb/11/basicrdb11_01.html |
|
オール・ザッツ・PCI DSS 連載インデックス http://www.atmarkit.co.jp/fsecurity/index/index_pcidss.html |
 |
問題解決カタログ トップページ |
- 社員が使うPCのセキュリティが不安 (2009/11/4)
自社で社員が利用するPCに、どのようなセキュリティ対策を実施すべきなのか分からない。何から取り掛かればいいのだろうか? - 起業した。準備すべきネットワークインフラは何か (2009/10/26)
会社を立ち上げ、新しいオフィスを開く。インターネット時代のいま、最低限準備しなければならないものは? - いつの間にか増えてしまったサーバ台数を減らしたい (2009/10/1)
小さい会社なのにサーバ数が膨れ上がり管理しきれない。サーバ仮想化でまとめるとよいと聞くが…… - 個人情報の流出を防ぎたい (2009/9/30)
個人情報漏えい対策は確実にしておきたい。しかしどこから始めたらいいのか分からない
 |
|
|
|
|
