先日、大手チケット販売会社からの個人情報漏えい事故が起きた。結果的に同社は、決算を下方修正する事態にまで追い込まれることとなった。情報漏えいによる被害は計り知れない。多くの企業では、マイナンバーを含む個人情報や社外秘などの重要データの管理に頭を悩ませていることだろう。また、5月末に改正される個人情報保護法に向け、中小企業含めほぼ全ての企業が対策を講じなければいけない。では、実際にどのようにすればいいのだろうか。
<想定企業>
自動車メーカー X社 マーケティング部門
【背景】情報共有と業務効率の向上を目的にファイルサーバーを利用
情報の共有化と業務の効率化を目的として、ファイルサーバーを導入している企業は数多い。
X社においても、開発に必要となる、図面、デザインカンプ、設計図、仕様書を始め、顧客情報などの重要ファイルをだいるサーバーで管理していた。ファイルサーバーを用いた情報共有は、業務効率化が可能になると同時に、重要ファイルを集中管理できるため情報漏えいのリスクも軽減できるという側面を持つ。そのためX社では、上記の重要ファイル全てをファイルサーバー上で管理していたのだ。しかし、そこには大きな落とし穴があった。
【課題】重要情報へのアクセスは制限しているが、アクセス権限のある社員の行動を管理できない
ファイルサーバーからの情報漏えいは、アクセス制限や監視ログなどである程度は抑止することができる。だが、アクセス権のある社員がその重要情報にアクセスし、その後の操作を制御することは非常に難しい。「重要情報はサーバーからコピーしない」という運用ルールを適用すればいいと考える人もいるかもしれない。だが、それでは以下のようなケースに対処できない。
「顧客分析やマーケティング活動のために顧客情報をローカルPCに保存し、作業終了後は削除しようと思っていた」
顧客情報は当たり前だが個人情報が含まれる。同社ではローカルPCに個人情報を保存・保有することは禁止していた。本来であればファイルサーバーの指定フォルダに保存すべきなのだが、「大量の情報を分析するのでファイルサーバーでは重すぎて時間ばかりかかってしまう」と、ローカルPCのデスクトップ上に保存してしまう。
業務の効率化のため、持ち出してはいけないデータを「今だけ……」とローカルに保存するというケースは実際によくある話しだ。いくら厳格な運用ルールを定めても、ミスや不備を完全に防ぐことはできない。万が一の事態を防ぐためには、自主管理によるものではなく、システム全体を強制的に運用管理しなければならない。
もちろんファイルサーバー側についても、十分な情報漏えい対策は必須だ。USBメモリのような外部メディアへの書き出し、ファイルのプリントアウト、ローカルPCへのコピーやメール添付など、情報漏えいにつながる行為については、しっかりとした制限を掛けなければならない。
課題・問題のポイント
・運用ルールだけでは防ぎきれないローカルPC上にある機密情報の漏えい対策
・情報漏えいにつながる行為の制限
