読者調査結果

@IT読者調査結果:ネットワークエンジニア編(2)
〜個人情報漏えい対策はどこまで進んでいる?〜

小柴 豊
@IT マーケティングサービス担当
2005/3/8

 2003年5月に成立した「個人情報の保護に関する法律(個人情報保護法)」の全面施行が、目の前(2005年4月)に迫っている。新たな個人情報の取り扱いルールと罰則に対して、企業ネットワークの対応は万全なのだろうか? Master of IP NetworkフォーラムとSecurity&Trustフォーラムが合同で実施した読者調査の結果から、検証してみよう。

個人情報の保有状況

 まず読者のかかわるネットワークで、現在どのような種類の個人情報(氏名・住所など、生存する個人を特定できる情報)を保有しているのか尋ねた結果が、図1だ。「社員住所録など従業員の個人情報」をはじめ、回答者の93%のネットワークで、何らかの個人情報がデータベース化されていた。個人情報保護法では保有個人情報数が5000人を超える事業者を“個人情報取扱事業者”と定義しているが、図1で個人情報を保有する読者の過半数(54%)がこの定義に当てはまっており、同法の適用範囲の広さが確認された。

図1 個人情報の保有状況 (N=247)

十分とはいえない情報漏えい対策

 では読者のかかわるネットワークでは、どの程度個人情報漏えい対策が進んでいるのだろうか? その状況を尋ねたところ、現時点で必要/十分な対策が行われているのは、個人情報保有者の23%(「過去に漏えいが発生し、必要な対策を行った」+「漏えいは発生していないが、十分な対策は行っている」の合計)にとどまった(図2)。

 その一方で「ある程度の対策は行っているが、さらに強化が求められている」(47%)、「必要性は意識されているが、まだ具体的な対策は行っていない」(27%)との回答は合わせて74%に達している。このままでは多くの個人情報保有者が、十分な対策を取れないまま法施行日を迎えることになりそうだ。

図2 情報漏えい対策状況 (個人情報保有者 n=229)
いまそこにある情報漏えいの危機 〜読者のコメントより〜
  • xls形式やcsv形式で個人情報が記載されたファイルがPC上にある
  • USBメモリ/FD/CD-R/MOについては使用が禁止されたが、メール添付ファイルによる外部持ち出しは禁止されていない
  • 人間のミスによる情報漏えいが一番の問題点であり、特に印刷した紙媒体での漏えいに根本的に対応できておらず、社員の意識も低い

対策強化が最も必要とされるのは内部セキュリティ

 上記で見たとおり、漏えい対策強化に向けた読者の問題意識は高い。そこで今後最も対策強化が必要と思われる対象を尋ねたところ、「社内関係者による情報漏えい」が、外部からの不正アクセスや業務委託先による漏えいを大きく引き離してトップに挙げられた(図3)。

図3 対策強化が必要な領域 (個人情報保有者 n=229)

 ネットワーク・セキュリティ対策といえば、一般にゲートウェイ層のファイアウォール+ウイルス検知・駆除が2本柱といえるが、

  • いままでは外部からの侵入対策が主であったが、内部からの漏えいが問題となっており、現在対策を検討中である
  • ワームなどによる被害よりも、物理的な作業委託者、社内犯による情報漏えいが防ぎきれていない

 との声にも表れているように、個人情報漏えい対策のためには、手薄だった“内部セキュリティ”強化の必要性が高いようだ。

情報漏えい対策の具体的な手段

 次に、読者のかかわるネットワークで実施している具体的な漏えい対策の手段を見ていこう。まずIT技術/ツールによる対策状況を尋ねた結果が、図4だ。現在は「アクセス制御/アイデンティティ管理」「OSやアプリケーションの脆弱性監査/パッチ管理」「マシン室の入退室管理や監視カメラなどの物理セキュリティ」の順で実施率が高くなった(青棒グラフ)。また今後強化が予定/検討されている対策としては、アクセス制御に並んで「データの権限管理(ライツ・マネジメント)」などの新しい技術も上位に挙げられている(黄棒グラフ)。

図4 ITによる漏えい対策状況 (個人情報保有者 n=229)

 続いて組織的な漏えい対策を見ると、現在の実施率トップ3は「情報セキュリティポリシーの策定」「社内に存在する個人情報の現状把握」「情報機器の持ち出し禁止などのルール/罰則規定の設定」となった(図5 青棒グラフ)。「ルール/罰則規定の設定」は、今後の強化予定策の筆頭にも挙げられており、セキュリティの社内明文化が進むものと思われる(図5 黄棒グラフ)。

図5 組織的な漏えい対策状況 (個人情報保有者 n=229)

 ところで図4図5を見る限り、企業の情報漏えい対策は着実に進んでいるように見える。にもかかわらず、ネットワークエンジニアの間で図2のような危機感が高まっているのはなぜだろう? 寄せられたコメントを見ると、

  • 経営者に個人情報保護法対応の必要性を認識してもらい、対策のための組織変更や業務手続き改革への理解と協力(トップダウンの決断)をしてもらう必要がある
  • 各個人のセキュリティ全般に関する意識度を高めない限り、全体的な効果にはつながらない

 というように、いくらツールやポリシーを整備しても、経営者や従業員の意識/認識改革が伴わなければ、最終的に漏えいは防げないとの見方をする読者が多いようだ。経営層を巻き込むためには、やはり投資対効果(ROI)を証明する必要があるが、この分野においては、

  • 妥当な被害金額の算出方法が標準化されていないため、対策に対する予算策定に非常に時間が取られる(予算権限者への説明など)
  • 情報漏えいにかかるコスト対効果をどのレベルに置くべきかが非常に悩ましく、いくらでもコストをかけることができてしまう

という課題がある。図5でも「情報漏えいによるリスク分析/損害賠償などの被害金額の推定」の実施率は、下位にとどまっていた。しかし最近では過去のセキュリティ事件や企業規模/設備状況などから、セキュリティ投資額を算出する試みも広がっている。経営層説得に悩んでいる方は、こちらの記事も参照されたい。

お薦め記事
  • 情報漏えいに備えるセキュリティ投資の目安 (Security&Trust)
  •  また従業員層の啓もうに当たっては、“セキュリティと業務生産性のトレードオフ”に悩むネットワーク管理者も多いようだ。

    • 個人情報に接する人間を限定したいと考えているのですが、そうすると各業務を処理するのに時間が多くかかってしまうジレンマに陥ってしまいます

     全社セキュリティの観点からは個々の業務事情を考慮することは難しいかもしれないが、あまり強引にことを進めると、逆効果になるケースもある。

    • 実際に情報を扱う従業員へのヒアリングがほとんど実施されていない。一方的にルールと教育を押し付けられているが、プロセスや個人の成果までは把握していないため、形骸化している。いつセキュリティ事故が発生してもおかしくない状態

     図3で見た内部セキュリティ強化のためにも、従業員の利便性を高めながらセキュリティ強度も上げていくような工夫(個人認証デバイスを用いたシングルサインオンなど)が、今後ますます求められそうだ。

    調査概要
    調査方法 Master of IP Network/Security&TrustフォーラムからリンクしたWebアンケート
    調査期間 2004年11月25日〜12月20日
    有効回答数 247件


    @ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)