日経パソコン Online Special 提供:富士通株式会社
情報漏えい対策Webセミナー 企業力を高める情報セキュリティ対策
ユーザー事例
JAグループ栃木事例へ
株式会社タムロン事例へ
ソフトバンクBB事例へ
特集
企業のセキュリティ
PCからの情報漏えいを防ぐ
連載・講座
VOL.1 個人情報を守る 入門編
VOL.2 ITで個人情報を守る 実践編
エキスパートが語る
企業が取り組むべき、情報セキュリティ対策とは
FMVバリューライン
中堅企業の経営支援
 
TOPに戻る
Webセミナーライブラリ 2004
連載・講座 ITで個人情報を守る 入門編
VOL.1 ITで個人情報を守る 入門編 「個人情報保護法」の完全施行が2005年4月1日と目前に迫っている。これ以降、企業には保有する個人情報を適切に取り扱うことが義務づけられ、万一情報が漏えいしたり、目的以外の用途に利用すれば、刑事罰に問われることとなる。そこで、今回はこの個人情報保護法とは何かから、企業が対策を施すにあたっての下準備までを概説する。
  企業が保持する個人情報は企業のものではない
 個人情報保護法が対象とする個人情報とは、生存する個人に関する情報で、特定の個人を識別することができるものをいう。具体的には、氏名、生年月日、年齢、住所、家族構成など個人を特定できる情報をデータベース化して管理している企業が対象となる。具体的には、5,000人以上の個人情報データを持つ企業が対象だ。
図
(富士通ジャーナルVol.30より)
 これらの情報の管理に関して、個人情報保護法が企業に求めるものをまとめると以下のようになる。
1. 個人情報の利用目的をできる限り特定し、その範囲で利用する
2. 個人情報が漏えい、滅失、毀損等することのないよう、安全に管理する
3. 個人情報の管理に関して、本人に対する公開性を維持する
4. 本人による開示、訂正、利用停止の請求に対応する
5. 苦情処理のための体制を整備し、苦情に対応する
 ポイントは、個人情報は企業のものではなく、本人に属するものだということ。したがって、たとえば新規ビジネスを開始するにあたって、既存顧客の名簿を利用するといった本来の目的と異なる行為は禁止されている。

 ただし、5,000人以上のデータは持っていないからといって安心はできない。5,000人以上は間違いではないが、個人情報とは顧客データとは限らない。取引先や従業員の個人情報も含まれる。 相次ぐ個人情報漏えい事件で消費者の意識は確実に高まっており、法律的には問題がなくとも、一旦事件を起こしてしまえば企業の信用は失墜するし、事後の対応に莫大な費用がかかることもありうるからだ。

  多大な損害をもたらす個人情報漏えい・企業の信用も失墜
 個人情報保護法に違反するとどうなるのか。個人情報保護法の第六章では罰則が定められ、刑事罰として、企業の経営者に対し懲役6カ月以下、罰金30万円以下が課せられる。しかし、本当の被害はここからである。

 個人情報漏えいが発覚した場合、その被害額は莫大なものとなる可能性がある。例えば過去の国内の事例では、ある自治体での個人情報漏えい事件において、一人あたりの慰謝料が15,000円(訴訟料を含む)に達した判例がある。仮に、5,000人のデータが流出したと想定すれば被害額は7,500万円、さらに訴訟や交渉にかかる人的なリソースも多大に失われる。また、情報漏えい対策のために、全社レベルの予期しない緊急のIT投資が必要になるだろう。

 もちろん被害はこうした直接的なものには留まらない。企業の個人情報漏えいはマスコミでも大きく取り上げられ、その結果、その企業に対する信用・イメージは著しく低下する。金銭的な被害は一時的なものだが、こうした「企業ブランドの被害」は、ケースによっては企業生命に関わる「致命傷」にもなりかねない。

  内部からの情報漏えいにいかに対処するか
 多くの企業では、ファイアウォールなど外部からの不正アクセス対策は、既に施されているであろう。もちろん不正アクセスなど外部からの侵入手口も日々悪質化しており、これで完璧という対策はないが、いま最大の問題は内部からの情報漏えいだ。

 実際情報漏えいの8割が内部から起きているというデータもあり、対策としてサーバルームへの立ち入り制限やノートPCや書類の持ち出し制限などが多くの企業で実施され始めている。

 このような対策で常に議論の的となるのが、性善説をとるか性悪説をとるかだ。どちらをとるかは最終的には経営陣が決めることだが、少なくとも経営者が公に性悪説を宣言してしまえば、従業員のモチベーションが下がることは間違いない。組織のモラルが低下し帰属意識が薄れてしまえば、逆に情報漏えいの可能性は高まる。それよりは、大多数の従業員は悪くないと信じ、万一何かが起きたときにスムーズに原因究明をすることによって、善良な社員を守るために対策を行うという前向きの考え方を勧めたい。

  ITによる情報漏えい対策のステップ
 性善説、性悪説いずれをとるにしても対策は必要である。企業には預かっている個人情報を管理するという社会的責任があるからだ。そうは言ってもリソースには限りがあり、闇雲に対策を行うわけにはいかない。そこで、まず被害のリスクと対策のコストを見極め、最も費用対効果の高いところから順に対策を行っていくための順序づけから始めよう。そのためには、ITの計画的かつ効果的な導入が欠かせない。

 まず最初に手をつけるべきところは、発生被害と頻度が大きく、対策コストが少なくて済む対策だ。たとえば、ファイアウォールは簡単に設置できて大きな効果を生むので第1ステップで行うべき対策と言える。

 次が発生被害と頻度は大きいが、対策コストもまた大きくかかる対策。ここは個別にリスクを検討しながら実施していく必要がある。たとえばパソコンの暗号化はパソコンが盗難にあっても情報を解読できなくなるので効果は高いが、全社のパソコンに入れると膨大な費用がかかってしまう。そこで、まず営業担当者が持ち歩くモバイル端末に絞って導入するという方法もある。

 発生する被害と頻度が少ないが対策コストはかかるというものは、上記2つのステップを終えた後、段階的に実施すればいいだろう。
情報漏えい対策のステップ
(富士通ジャーナルVol.30より)

 次回は、ITを活用した具体的な情報漏えい対策を紹介する。
 
 
日経BP社
Copyright(C) 2004 Nikkei Business Publications, Inc. All rights reserved.
記事中の情報は、記事執筆時点または雑誌掲載時点のものです。
このサイトに掲載されている記事、写真、図表などの無断転載を禁じます。
詳しくはこちらをご覧ください。