巨額の損害賠償請求に有効、フォレンジクスとは

2004/2/6

 「セキュリティ管理はフォレンジクスの段階に入っている」。弁護士でISMS主任審査員の稲垣隆一氏は、NECネクサソリューションズ主催のセミナー「待ったなし! 個人情報保護法」で講演し、企業は一般的なセキュリティ対策に加えて、個人情報の漏えいや不正アクセスが発生した際に、トラブルの証拠を収集し、分析するコンピュータ・フォレンジクス(Computer Forensics)が重要になるとの認識を示した。

弁護士 ISMS主任審査員の稲垣隆一氏

 稲垣氏は企業が直面する情報セキュリティについて「どのような対策を行っていても事故は必ず起きる」と指摘。事故が起きた後の対策を含めたセキュリティ・マネジメントが重要と述べた。情報セキュリティのトラブルが起きた際に、企業が採る手段は謝罪と調査。稲垣氏の考えでは、特に重要なのは調査の迅速さだ。顧客企業に対して謝罪すると同時に技術的な根拠を示して、「もう起きません」と説明することが大事。

 技術的な根拠を示して顧客に説明するには、トラブルが起きた後に、その原因を収集、分析し、証拠として残すフォレンジクスが重要。また、未知の攻撃に対しても対処を行っていたという証拠を示することで、損害賠償請求などの「リーガルリスクを軽減できる」という。事故は起きてしまったが、それまでに十分なセキュリティ上の対処を行っていた証拠を出すことで訴訟対策を有利に進められる。フォレンジクスに対応した情報システムを整備することで、顧客に対して十分な説明が可能になり、顧客の心をつなぎとめられるというメリットもある。

 大手コンビニエンス・ストアチェーンから個人情報が流出した2003年のケースでは、本社が迅速に対応。早期に原因を顧客に示し、謝罪した。流出した個人情報の件数が多かっただけに最悪の場合、数十億の損害賠償を求められることも考えられたが、調査委員会の設置や500円の商品券の送付など顧客を納得させる対策を素早く打ち出して訴訟を起こされないようにした。顧客に対して迅速に対応できたのは、本社が社内の情報システムを把握し、フォレンジクスがうまく機能していたためとみられる。

 稲垣氏はフォレンジクスについて「今後はコストをかけずにフォレンジクスをどのように整備していくかが重要になる」と語り、事後の訴訟対策も意識したシステム作りが求められるとの認識を示した。

(編集局 垣内郁栄)

[関連リンク]
NECネクサソリューションズ

[関連記事]
個人情報流出で倒産するシステム・インテグレータ (@ITNews)
掲示板が新たな脅威、トレンドがWebアクセス管理の新製品 (@ITNews)
情報漏れのうっかりミス防ぐRights Managementとは (@ITNews)
電子メール暗号化が巨額の損害賠償を防ぐ (@ITNews)
「個人情報保護法」時代のセキュリティ対策 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)