電子メール暗号化が巨額の損害賠償を防ぐ

2003/8/27

日本ベリサインのエンタープライズ営業部 部長代理 荒谷茂伸氏

 日本ベリサインのエンタープライズ営業部 部長代理 荒谷茂伸氏は、日本ベリサインが主催した「実践インターネットセキュリティセミナーII」で講演し、企業情報システムのセキュリティについて、「外からのアタックに対する対策はできてきた。今後は内部のセキュリティが重要になる」と述べ、セキュリティポリシーを個人レベルにも適用させる必要性を強調した。

 荒谷氏はセキュリティポリシーの運用を、策定、導入、運用、評価・見直しの4段階で説明。多くの企業は現在、セキュリティポリシーを策定、導入した段階で、「今後は社員教育も含めて、個人のセキュリティポリシーを意識的に運用する必要がある」と指摘した。これまでのセキュリティ対策は企業の情報システム部などが運用してきたが、今後は個人によるセキュリティポリシーの確実な運用が重要、というのが荒谷氏の考えだ。

 荒谷氏は企業で働く個人向けに7つのセキュリティチェックポイントを説明した。

  • 暗号化電子メールを実施しているか
  • 個人電子メールへの転送は可能か
  • 自宅のパソコンを使い会社で作成したファイルを修正できるか
  • 社外への重要なドキュメントの持ち出しは禁止しているか
  • 自宅から会社にアクセスする際のID、パスワードは定期的に変更しているか
  • ID、パスワードに個人情報(家族の名前など)を含んでいないか
  • 自分だけなら大丈夫と思い、会社のルールを破ったことはないか

 この7つのポイントで強調されているのは、企業内部からの情報漏えいの防止。組織から個人情報が漏れると、損害賠償請求訴訟など大きなリスク要因となる。京都府宇治市から業務委託を受けていたシステム開発会社の社員が、市民の個人情報を記載した名簿を外部に売却した1998年の事件では、個人情報を漏えいされた市民3人が、市を相手取って提訴。京都地裁は市に対して市民1人当たり弁護士費用合わせて1万5000円を支払うよう命じた。大阪高裁、最高裁とも地裁判決を支持し判決が確定。提訴したのは市民3人だったが、仮に名簿に記載されていた約22万人全員が提訴していた場合は、最高で33億円の賠償金額になっていたことも考えられる。

 また、この事件で漏えいした個人情報は名前、性別、住所、生年月日の基本4情報だったが、企業によっては基本4情報に加えてクレジットカード情報や年収情報など多くの情報を持つ場合もある。このような重要な個人情報が外部に流出した場合は、賠償金額がさらに上がることが予測され、企業にとっては大きなリスク要因となる。
 
 このような個人情報漏えいを防ぐ対策として荒谷氏が強調するのが電子メールの暗号化。厳密なセキュリティポリシーを策定し、一貫した内部情報ソリューションを導入することも考えられるが、荒谷氏は「セキュリティ対策はできることから着実に行うのがポイント。暗号電子メールは簡単に導入、運用できる」との考え。また、電子メールから情報漏えいが起きるケースでは、他人が内部から電子メールサーバにアクセスし、電子メールを読む場合が多いという。電子メールサーバは他人にのぞかれても情報漏えいの痕跡が残りにくく、事件が露呈しにくい。そのため電子メールを暗号化する場合は、サーバ上でも電子メールが暗号化されるようなソリューションが重要、と荒谷氏は強調した。

(垣内郁栄)


[関連リンク]
日本ベリサイン

[関連記事]
情報漏えい対策は経営トップから (@ITNews)
「個人情報保護法」時代のセキュリティ対策 (@ITNews)
Webサービスに大きく踏み出すRSAの新戦略 (@ITNews)
中小企業にReady to Useのセキュリティを提供 (@ITNews)
[Interview] 「優秀なセキュリティエンジニアを育てるには……」 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)