 |
第2回 情報が漏れた! まず何をすればいいのか?
| 根津 研介 園田 道夫 宮本 久仁男 2004/12/23 |
|
 |
そして最悪の事態に〜マスコミへの事件リーク |
調査に没頭して数時間が過ぎ、またしてもノックの音。返事も待たずにドアを開けて“タヌキ”中田本部長が今度は飛び込んできた。今回は、目ばかりでなく、いつもの貼り付けたような笑顔もその顔にはなかった。
| 中田本部長 | 「困りましたねえ。マスコミに出てしまったようですよ」 |
| 3人 | 「ええ!? そうなんですか?」 |
中田本部長は印刷したWebページニュースを机に放り出した。3人が読んでみると、
「駐車場管理会社の○×から顧客情報漏えい。件数は1000件を上回るもよう。債権詐欺などの被害も数件。被害額は数百万円に上る恐れ」
とある。速報ベースなのにやたらと具体的だった。件数や実際の被害についても書かれている。
| 中田本部長 | 「どういうことですか、これは? 内密にしなさい、と指示したはずですが?」 |
| 平山さん | 「私たちを疑ってるんですか? 本部長がいらしてから一歩も会議室の外には出ていません。いったい、何ができるっていうんです?」 |
| 中田本部長 | 「わたしを見くびってもらっては困りますよ。コンピュータがあれば外との通信なんていくらでもできますからね。そういえば、あなた(平山さんを指して)、さっきからずっとコンピュータに触りっぱなしだったようですが。あなたは確か人事担当ですよね。なぜこんなところにいるんですか?」 |
| 平山さん | 「契約とか書類の調査のお手伝いです。何を疑ってらっしゃるんですか? わたしがリークしたとでもおっしゃっているんですか?」 |
| 中田本部長 | 「そうじゃないんですか?」 |
平山さんは怒り心頭のようだ。顔に血が上って、唇がふるえている。中村君ははらはらしながら見ていたが、しかし平山さんの雷は落ちてこなかった。怒りのあまり、言葉を失ったらしい。
| 中田本部長 | 「とにかく。緊急にこれから経営会議があります。そこであなたたちの調査方法について妥当だったのかどうか判断が下されます。リークの件も徹底的に調査することになります。それによって処分も決まるので、それまで、いいですか、どこにも行かずここにいなさい。これは命令です」 |
そういい残して“タヌキ”中田本部長は部屋から出ていった。
| 平山さん | 「なに? あの態度! わたしがリークしたなんて、いっていいことと悪いことがあるってもんよ!」 |
| 中村君 | 「平山さんのことをよく知らないんですよ。それにしても」 |
| 小野さん | 「そうだな。こうなるとますます時間がなくなったわけだ。正式に情報を出すにはもっと確度の高い情報をそろえないと。報道の具合によっては今日明日中に何か出さないといけなくなるはずだからな」 |
ため息が出てくる。しかしもう、出てしまったものを止めるわけにはいかない。何かほかにできることはないか、何か……。
そのとき、平山さんが声を上げた。
| 平山さん | 「ちょっと! 松田さんからメールが来たわ! 開発委託チームの人名リストだって」 |
のぞき込む小野さんと中村君。
| 小野さん | 「あれ? こ、こいつってもしかして」 |
| 中村君 | 「え? 誰ですか? この広山、っていう人のことですか?」 |
| 平山さん | 「あ、まさかあの広山さん?」 |
◆次回予告◆
開発委託チームに名前があった謎の広山さんとは誰なのか?
表ざたになってしまった顧客情報漏えい。その後何をどうフォローすればいいのか?
事態はますます混迷し、さらなる試練が襲いかかる。中村君は生き残れるのか?
【今回の教訓】 ・個人情報に触る資格、条件、手続きなどの業務分析を事前にきちんと行おう 中村君は、芋づる式にデータを触ることができた人を特定していく努力をしているが、本来は、このように野放図にデータにアクセスできたことがそもそもの間違いだったということに読者諸氏も賛成するだろう。企業では、保持している個人情報の種類や、その保管場所をきちんと把握しておかなければならない。また、それぞれの情報へ業務上アクセスしなければならない社員を限定し、また、アクセスしなければならない情報の種別も限定するようにシステムを作り込んでおきたい。 ・行動指針としてのポリシーを周知徹底しておこう 会社のミッションとして個人情報の扱い方をどうするのかというポリシーを事前に全社員へ周知徹底しておこう。また、事故が発生した場合の対応方法もポリシーとして制定しておくべきだ。このときの対応方針のミスで信用を落とす企業が多いからだ。「人の口に戸は立てられない」のだ。特に、井戸端会議/うわさ話を掲示板で行い、ブロク/日記を公開することで1億総人口が情報の発信元になりうる今のインターネットでは絶対に隠し通せるものではない。そして、嘘をついたり、隠そうとしたりしたことがばれた企業の行く末はそれこそ悲惨極まりないものとなる。大抵は、漏えいに気付いた顧客から、もしくは、内部告発によりマスコミにリークされてしまうからだ。 証拠として、日本能率協会総合研究所が行ったアンケートを挙げておく。このアンケートをみると、消費者が企業に求めるものが浮かんでくる。およそ、消費者は、
を企業にもっとも求めており、金券などの心付けはその上で付随する項目であるとの結果がでている。そして、その時の対応の仕方如何で、その後の継続取引を行うかどうかを判断する消費者が6割にも達するという事実を基に行動指針を決めるべきであろう。 ・委託業務と個人情報保護 個人情報を含むシステムの開発や運用などを外部に業務委託した場合、委託先で適正に個人情報が扱われていることを確認し、確実なものにしておく(定期的にチェックするなど)のは委託元の義務ということになっている。「義務」ということは、つまり法律で規定されているわけで、これを怠っていた場合には法律に違反していることになる。自分の所属している企業/団体が法律違反を犯さないように、こういう業務形態を取る場合にはしっかり目を光らせておこう。 ちなみに、業務を委託する場合に、委託先の選定についての指針や委託先と交わす契約に盛り込むべき内容については、プライバシーマークの基準であるJIS Q 15001などが参考になるだろう。 |
 |
5/5
|
| Index | |
| 情報が漏れた! まず何をすればいいのか? | |
| Page1 データの流れを把握する! |
|
| Page2 誰が顧客データに触れたのか? 〜ザルな契約とその概要 |
|
| Page3 調査の障害は意外なところから〜社内にも敵? |
|
| Page4 調査するところと調査の方針、そして方法 |
|
 |
Page5 そして最悪の事態に〜マスコミへの事件リーク |
| 基礎解説記事 | |
| にわか管理者奮闘記 | |
| 5分で絶対に分かるシリーズ | |
| 管理者のためのセキュリティ推進室 | |
| 情報セキュリティ運用の基礎知識 | |
| Security&Trustウォッチ |
 |
連載:にわか管理者奮闘記 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
