じっくり考える「情報漏えい発生の理由」(前編)

雇用形態の変化と情報漏えいの実態


宇崎 俊介
トレンドマイクロ株式会社
コンサルティングSE部 テクニカルSE課
情報セキュリティ シニアアナリスト
2009/5/29


 アメリカと日本:雇用形態の違いに見る情報漏えいのかたち

 筆者はこれまで多くの企業の業務形態を見てきたが、業務の効率化のためにシステム化を推進することに関して、日本は比較的理解があるように思う。

 しかし同時に、日本では「あの人がやっている仕事」「以前あの人がやっていた仕事」と「企業の持つ情報」がどうひも付いているかが整理しきれていない傾向が強い。そういった企業では、情報がシステムの中に保管されているか、その人の机の中にどんな情報資産があるか、などを誰も把握できていないケースが多い。

 どこに何が保管されているかが分からなければ、その結果として「何を持ち出されたのか」ということも把握できない。企業の機密情報を持ち出しされても対処のしようがないのである。

 「自社のデータや機密なのに、何が持ち出されたか分からないなどということがあるのか?」そう思われるかもしれないが、実際に「何が持ち出されたのか」を調査するサービスが商売になるぐらいである。

 アメリカ型と従来日本型の労働環境を大まかに比較すると、企業側がいかに従業員を扱うか、という点で大きな差異がある。一般的に、アメリカの企業は従業員を頻繁に入れ替えるし、不況、活況で採用と解雇を繰り返す。従業員たる労働者はある種のスペシャリストとして働くことに一定の誇りを持ち、企業と切り離した自分の生活を大切にする。つまり一昔前の日本のような「会社というコミュニティに皆で集い共生する」ようなことはほとんど考えていない。お互いに依存しないし、多くを求めないということである。

 すると企業の用意すべき環境・管理すべき情報、つまり情報管理における重点はおのずと決まってくる。

■アメリカ型の労働環境■

  • 誰が来ても仕事がすぐに始められる環境
  • 誰が抜けても仕事が引き継げる環境
  • 仕事を持ち帰らない環境

■アメリカ型の情報管理■

  • 情報は“人”とではなく“業務”とひも付ける。人はあくまでオペレータ
  • 職権分掌の明確化
  • 担当業務範囲と関連したアクセス可能な情報の範囲

 アメリカでは上記のような、人と情報が分離した環境が自然と根付き、当たり前のこととなっている。アメリカ型が正しいということではないが、「人材が流動する時代」に即した業務のあり方の1つである。

図1 アメリカ型の従業員と企業情報の関係

 一方で日本の場合はどうか。企業が用意している環境・管理すべき情報などはどうなっているか。

■日本型の労働環境■

  • 属人的業務システム・業務手法・ローカルルール
  • 誰かに辞められると引き継ぎに時間のかかるシステム
  • 持ち帰らないと終わらない分量の仕事(企業側の要求)

■日本型の情報管理■

  • 人とひも付く情報
  • その人しか知らない管理手法
  • 人が情報の支配者

 情報漏えい対策の観点で、特に問題になるのは上記の点ではないだろうか。中でも最も懸念すべきは持ち帰り前提の業務量と、人が情報の支配者たる独自の管理の2点である。

 従業員が業務上の情報を持ち帰る(外に出す)と、企業のコントロール外となり非常に危険である。実際多くの情報漏えいが、情報の持ち出し先で発生している。

図2 日本型の従業員と企業情報の関係

 このような日本型の情報管理において発生する、持ち出しや投棄による情報漏えいの事例を紹介しよう。

●持ち出しや投棄による情報漏えいの事例:

  • 教師:成績管理業務を業務時間外に行うために、USBメモリで自宅に持ち帰った。
    USBメモリを車から盗まれ、ネット上に公開された。

  • 商社:保管期限の過ぎた顧客データを廃棄した。
    廃棄先から顧客情報が流出した。

  • 宗教法人:寺社の檀家を管理する端末を不法投棄した。
    中古PCとして流通し、檀家の個人情報がネット上に出回った。

  • 保険:外交員がノートPCを電車に置き忘れた。
    被保険者の個人情報が流出し、ネット上に公開された。

  • 病院:医師が論文執筆のために患者データを自宅に持ち帰った。
    車上荒しに遭い、患者データを紛失した。

 情報がシステムから切り離されて、業務を行う場から外部に出るということには、相当のリスクが伴うことを認識せねばならない。盗難や紛失に遭遇した場合、情報オーナーである従業員や企業が、そのリスクをコントロールできないからである。

 では、どうしても業務上持ち出さなければならない重要な情報がある場合にはどうするべきか。例えば以下のような対策が考えられる。

  • 可搬媒体は常に暗号化しておき、内容を解読されることを防ぐ。
  • 投棄するメディアは完全に破壊し、外部委託する際は信頼できる業者を選ぶ

 これらは繰り返しいわれている、当たり前のような話であるが、実践していない企業はまだまだ存在している。だからこそ情報漏えいがなくならない。

2/3

Index
前編:雇用形態の変化と情報漏えいの実態
  Page1
情報漏えい事件の原因はどこから来るのか
「情報管理」のスピードを追い抜く雇用形態の変化
Page2
アメリカと日本:雇用形態の違いに見る情報漏えいのかたち
  Page3
今後の雇用形態変化と情報管理
Index
中編:情報漏えいが事業経営に与えるインパクト
  Page1
情報漏えい対策の実際
情報の価値は誰が決めるのか
  Page2
情報漏えい時に被る財務的なインパクトの予測
  Page3
あるショッピングサイトを襲った情報漏えい事件の「費用」
Index
後編:情報漏えい対策ソリューション、DLPとは
  Page1
「機密情報そのもの」を守るというアプローチ
重要情報の決め手は「情報の指紋」
  Page2
情報漏えい防止のための「もう1つの手段」として

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH