個人情報をはじめとする重要情報は何らかのITシステムに保存されていることが多いため、IT担当者だけに責任を押し付けてしまいがちです。しかし、個人情報漏えい事件に関する報道でも分かるように、情報漏えい対策は、企業にとってビジネスを左右する重要な問題です。全社的な体制で対策を考え、支援し、実効性を確保する必要があります。
オンラインストアなど、インターネット上のWebサイトで個人情報を取得/蓄積する場合は、当然ながらインターネット経由で不特定の利用者がその情報を閲覧できないように、サーバのセキュリティを確保します。
オンラインストアでは、1人1人の会員が、自分の登録情報を使って購入品の送付先を半自動的に指定したり、クレジットカードの情報を登録することで半自動的に決済ができるようになっていたりするのが普通です。また、自分の情報を閲覧し、修正できるようになっていることもあります。
ところがアプリケーションにセキュリティ上の弱点があると、こうした情報を不特定のユーザーがインターネット経由で閲覧できてしまう場合があります。
これについては別項で詳しく解説しますが、対策として、OSやアプリケーションのセキュリティパッチを確実に適用すること、システム開発の際には、セキュリティに注意したプログラミングを行うことも必要になります。
見込み顧客リストなどをずさんに扱っていないか
個人情報が含まれたデータは、企業によってはインターネットサイト以外にも、マーケティング活動の一環としてさまざまな方法で日常的に収集/取得されます。データの形式もさまざまですが、それぞれについて管理責任者を決める必要があります。
この管理者は、データを別のデータベースなどに移管するか、利用を終了してデータを廃棄するまで、不特定のユーザーからのアクセスや不要な複製が起きないように、必要な措置をとる責任を負うものと社内で取り決めておかなければなりません。
社内における特定のサーバに個人情報を格納する場合でも、利用する必要のないユーザーには閲覧できないようにすべく最大限に努力すべきです。情報漏えいは、社内ユーザーやシステム開発会社の犯行によるケースが多数あります。
まず、サーバやハードディスクドライブ、バックアップ媒体に物理的に触れたり、持ち出したりできないように、これらを隔離し、入室を限られた人に制限すべきです。USBポートやDVDドライブなど、データの持ち出しにつながるような機能を取り外す、あるいは無効化するといったことも検討すべきです。
利用するユーザーの権限を必要最小限に限定する
個人情報を格納するサーバであっても、社内ネットワークに接続されていなければデータの取り込みや利用ができません。だからといって、社内のどの端末からでもアクセスできるようになっていては、セキュリティを確保できません。個人情報を保存したサーバとの通信は、必要最低限のシステムや端末に限定します。
コールセンターなどのスタッフが顧客に対応する際、通常顧客データベースに登録されている個人情報を参照するようになっています。情報を修正したり、追加したりすることもあります。この場合も、業務上必要な情報しか閲覧できないようにするとともに、個人情報を個々の作業端末に保存することができないようにします。
営業担当者についても同様です。必要最低限の情報しか閲覧できないようにすること、そして原則的には個人情報を個人端末に保存できないようにすることが必要です。
そうはいっても営業活動の都合上、外回りで顧客データを持ち歩く必要があるというケースもあるでしょう。これについては別項で詳しく説明しますが、個人情報をはじめ、さまざまな重要情報が記録されたPCを持ち歩くことがセキュリティ上の大きなリスクであることを認識したうえで、不要なユーザーにデータを見られないような対策が不可欠です。
データベース管理者の監視や権限管理が必須
最後に対策すべきなのはデータベース管理者やシステム開発会社の要員です。データベース管理者はデータベースの全データにアクセスできる権限が自動的に与えられます。こうした人々がデータを持ち出す犯行の例は、枚挙にいとまがありません。
ですから、データベース管理者については徹底的な監視が必要です。管理権限を細かく限定する、1人ではデータの取り出しなどの作業ができないようにする、改ざんできないようなアクセスログの記録をとる、などの対策は必須といって過言ではありません。
関連リンク: | |
![]() |
じっくり考える「情報漏えい発生の理由」(前編) 雇用形態の変化と情報漏えいの実態 http://www.atmarkit.co.jp/fsecurity/special/145dlp/dlp01.html |
![]() |
データを守るためにできること 連載インデックス http://www.atmarkit.co.jp/fsecurity/index/index_hddcrypt.html |
![]() |
データベースセキュリティの必要性とその対策 http://www.atmarkit.co.jp/fdb/rensai/basics_rdb/11/basicrdb11_01.html |
![]() |
オール・ザッツ・PCI DSS 連載インデックス http://www.atmarkit.co.jp/fsecurity/index/index_pcidss.html |
![]() |
問題解決カタログ トップページ |
- 社員が使うPCのセキュリティが不安 (2009/11/4)
自社で社員が利用するPCに、どのようなセキュリティ対策を実施すべきなのか分からない。何から取り掛かればいいのだろうか? - 起業した。準備すべきネットワークインフラは何か (2009/10/26)
会社を立ち上げ、新しいオフィスを開く。インターネット時代のいま、最低限準備しなければならないものは? - いつの間にか増えてしまったサーバ台数を減らしたい (2009/10/1)
小さい会社なのにサーバ数が膨れ上がり管理しきれない。サーバ仮想化でまとめるとよいと聞くが…… - 個人情報の流出を防ぎたい (2009/9/30)
個人情報漏えい対策は確実にしておきたい。しかしどこから始めたらいいのか分からない
![]() |
||
|
||
![]() |
総合記事ランキング
- 開発者向けAIエージェント「Devin 2.0」正式発表、エージェントネイティブIDEと3つの新機能を搭載
- 「AI」でベンダー依存脱却へ、セブン&アイに学ぶ企業ネットワークでのAI活用
- 互換性チェックをバイパスしてシステム要件を満たさないPCでもWindows 11 2024 Update(バージョン24H2)にする
- 約1カ月でデータサイエンスの基礎を習得 無料で学べるオンライン講座「データサイエンス入門」を総務省が開講
- 【Windows 10→11移行】Windows 11にして困る日本語入力システム(IME)の問題を解決する
- 重複データを色付けしたり、削除したりする【Googleスプレッドシート】
- 第299回 ソフトバンクグループが買収したAmpere Computingの成否はトランプ関税次第?
- 米国政府からの支援打ち切りを受け、CVE財団が発足 CVEプログラムの長期的な存続など狙い
- 不思議の国「日本」を理解するために、インド人が続けてきたこと
- 元ITマーケターが失語症リハビリ支援アプリの開発プロジェクトを始めた理由
- Pythonが依然独走、Kotlin、Ruby、Swiftが苦戦 TIOBEプログラミング言語ランキング
- 重複データを色付けしたり、削除したりする【Googleスプレッドシート】
- 始めてみようWSL、WSLを使ってWindowsにLinuxをインストールする
- Windows 10のサポート終了に備えて、Windows 11移行前にフルバックアップを実行する
- Fortran、Delphi、COBOL、Adaが上昇――なぜ今「恐竜」言語が注目なのか? TIOBEプログラミング言語ランキング
- 【Windows 10→11移行】「復元するデバイスを選択」でどこまで移行できるか試してみた
- ポランニーのパラドックス(Polanyi's Paradox)とは?
- 約1カ月でデータサイエンスの基礎を習得 無料で学べるオンライン講座「データサイエンス入門」を総務省が開講
- Google、「Gemini Code Assist」の無料提供を個人開発者に向けて開始 月最大18万回のコード補完の他は何が役立つのか?
- 互換性チェックをバイパスしてシステム要件を満たさないPCでもWindows 11 2024 Update(バージョン24H2)にする