 |
情報セキュリティコンサルタントの提言
個人情報保護法に備える4つの課題
山口 毅治インターネット セキュリティ システムズ株式会社
プロフェッショナルサービス部シニアディレクター
BSI認証 BS7799スペシャリスト
2004/12/2
近年、経済・社会の情報化の進展に伴い、官民を通じて、コンピュータやネットワークを利用して、大量の個人情報が処理されている。こうした個人情報の取り扱いは、今後ますます拡大していくものと予想されるが、個人情報は、その性質上いったん誤った取り扱いをされると、個人に取り返しのつかない被害を及ぼす恐れがある。実際、事業者からの顧客情報などの大規模な流出や、個人情報の売買事件が多発し社会問題化している。
|
||||||||||||||||
| 平成16年6月時点までの主な個人情報漏えい事件 |
それに伴い、個人のプライバシーの取り扱いに関する不安が高まっており、また、安全管理をはじめとする企業の個人情報保護の取り組みへの要請も高まっている。一方、企業活動などのグローバル化が進む中、企業において国際的に整合性を保った法制の整備と運用が求められている。
このような状況下において、各省庁や大手企業では2005年4月の「個人情報の保護に関する法律」(通称:個人情報保護法)の全面施行を目前にして個人情報保護対策を実施していると思われる。しかしながら、一部の企業においては、個人情報保護対策の未実施もしくは検討中というところも少なくないだろう。では、なぜ個人情報保護対策が未実施なのか、なぜ対策に着手できないかを考察し、その対策について述べてみたい。
 |
個人情報漏えい対策における課題 |
いままで、私が情報セキュリティ支援(コンサルティング)を実施してきた経験から、企業の実態を判断してみると、大別して4つの課題がある。それぞれの課題について私なりの意見を述べる。
- セキュリティギャップ
- プロジェクト体制と意思決定
- 散在する情報と管理の難しさ
- 外部委託業者管理
●セキュリティギャップ
まずはじめに、マネジメント層とシステム管理者(担当者)間において、セキュリティ対策に対する意識のギャップが存在するのではないかと推察される。ではなぜ、ギャップが存在するのか。
マネジメント層は“費用対効果”を考慮した投資を考えるのが当たり前であり、セキュリティ対策を実施した場合の費用対効果については明確な効果が見えにくい。ほかの仕組み(ERPシステムなど)に投資することのほうが投資効果をより大きく得られると考えているだろう。確かに、セキュリティ対策を実施し企業のセキュリティレベルを上げたとしても、それが業務効率の向上や売り上げに直結する話でないことは理解できる。
しかしながら、企業の信頼性・信用度についてはどうだろうか。いまや大きな資産を持つ会社や知名度の高い会社が漏えい事故を起こし、その立て直しに苦戦を強いられていることを考えると、企業の持つ個人情報が漏えいした場合、その企業に対する社会的評価が低下し、当該企業に与えるインパクトは容易に考えられる。セキュリティ対策は、経営上の重要課題であるといっても過言ではないのではないか。
一方、システム管理者(担当者)においては、業務効率の向上や安定的なシステムを利用者に提供するために、日夜努力をしている。当然、システム管理者(担当者)は、自社の抱える問題点(システムや内部規則)を把握しているだろう。
にもかかわらず、セキュリティ対策が進まないということは、一番、現場に近い人たちからの声がマネジメント層に届いていないのか。もしくは、セキュリティ向上を目指すと業務効率が下がってしまい、安定したシステムを利用者へ提供できないと考えているので、次の施策を躊躇(ちゅうちょ)しているのだろうか。どちらにしても、マネジメント層とシステム管理者(担当者)とのギャップは確実にあるといえる。
 |
| (c) 2004 Internet Security Systems, Inc. and Internet Security Systems K.K. All rights reserved. |
●プロジェクト体制と意思決定
いまやセキュリティポリシーの策定や認定取得を行う企業が増えている。ISMSやBS7799といったセキュリティポリシー認定取得支援を実施する中において感じたことと同様のことが、個人情報保護対策についてもいえるのかもしれない。
それは、真のセキュリティ委員会組織を作り上げることが容易ではないということである。ともすれば、認証取得のためのプロジェクトになりがちで、セキュリティ委員会も担当部署で組織化するというケースも珍しくない。
本来、企業のセキュリティポリシーを検討する際に担当部署で委員会を組織化するべきではない。会社規模もしくは取得事業規模において認知されたセキュリティ委員会(プロジェクト)にするべきである。認知されていないセキュリティ委員会には当然のことながら権限がなく(ワークグループ化している)、策定したセキュリティ施策もマネジメント層で棄却され手戻りが多く発生してしまう場合もある。個人情報保護対策についても同様なことが想定される。
●散在する情報と管理の難しさ
インターネットの普及のおかげで、BtoBやBtoCビジネスにおいてさまざまな情報がインターネットを通じて収集できるような仕組みになってきている。そうして収集された情報は多種多様に加工されビジネスに利用されており、システム管理者(担当者)が知らない個人情報が部門単位もしくはビジネスユニット単位で運用されているのではないだろうか。このため、情報管理の“複雑さ”や“難しさ”が、個人情報保護対策を推進することに歯止めをかけているかもしれない。
●外部委託業者管理
いくつかの個人情報漏えい事故では、外部委託業者からの情報流出が原因とする報告があった。その業務委託内容は、多岐にわたって一般化(データ入力、事務処理、開発など)されていると考えられる。委託業務契約を結んだ時点で、委託業者が取り扱うべき情報が不明確ということもあり得るのではないだろうか。そこに企業にとってのリスクがある。しかしながら、業務を遂行するに当たり外部委託業者との関係は必要不可欠であり、個人情報保護対策を推進するための障壁になっていると推察される。
1/2 |
|
| Index | |
| 個人情報保護法に備える4つの課題 | |
 |
Page1 個人情報漏えい対策における課題 -セキュリティギャップ -プロジェクト体制と意思決定 -散在する情報と管理の難しさ -外部委託業者管理 |
| Page2 個人情報保護対策に向けて 企業の社会的責任を見据えた対策を |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
