Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

いつのまにか不要な「リスク」を集めていませんか?

先日、某プロバイダから7000件近い個人情報が流出する事件が発生した。ウェブ上で実施したアンケート結果が誰でもアクセス可能だったために発生したもので、データに対し200回以上のアクセスが行われていたという。

ウェブ上から個人情報が流出する事例は多い。Web Application Securityフォーラムが今年前半に発表した内容によれば、数%のウェブサイトを除き、サイトの規模大小にかかわらず、ウェブアプリを利用しているサイトでは何らかの脆弱性があるとしている。

以前はロボット型検索エンジンがアンケート結果まで巡回してしまい、検索結果に大量の個人情報が表示されてしまったという悲惨なケースも良く眼にしていた。最近は減少しつつあるといえども、驚くべきことにウェブ上の公開領域においてデータを保存しているケースが未だ存在している。

そもそも「そのデータ」は本当に必要だったのか?

今回の流出事件では、氏名や住所、性別に加えアンケートの回答内容が流出している。しかし、すでに顧客であるアンケート回答者から、あえて「氏名」や「住所」などを既知の情報を再取得する必要があったのだろうか?

すでに顧客であるならば、アンケートを実施するにあたり、シリアルナンバーを付与し、ウェブ上で記入してもらう際には、個人を特定できる情報ではなく、シリアルナンバーとアンケート結果を入力してもらえれば、それで良かったのではないだろうか。そうすれば、シリアルナンバーがどの顧客に割り振られているのか、大元のデータベースを参照されなければ、個人は特定されない。

最近では、アンケート実施する際、利用目的を明示したものも増えてきた。「アンケート結果は、集計だけに利用する」としたものも増えている。しかし、それでも個人情報の入力を促すものが多い。集計だけに利用するとしているのに、なぜ個人情報を収集するのであろうか。従来のひな形に沿ったアンケート造りが依然行われている。

以前は、顧客データは、多ければ多いほど、「マーケティング」に役立つとされ、あらゆる情報が収集されるのが常であった。しかし、個人情報漏洩問題を背景に、その手法はすでに時代遅れとなりつつある。不用意に個人情報を集めれば、それらは大きなリスクとなってしまうからだ。

ひとつのテーブルで完結したデータの恐怖

安易に収集されたアンケートデータは、一覧表としてひとつのテーブル(シート)で管理されることは容易に察しが付く。そのデータがその後どのような運命を辿るか想像してみよう。

必要と名乗りを上げた部署に配布され、それぞれ担当者が個別に管理することにでもなれば、もはや企業として統一管理は不可能だ。そしてそれぞれの社員において「盗難」「紛失」「社員の退社」「故意の漏洩」など、あらゆる危険が伴う。

その上、誰がいつ、どこでデータを利用したのか、トレースすらできない。このような状況が放置されていれば、企業の管理責任が大きく問われることは間違いない。個人情報保護法が施行されれば、行政指導の対象となるだろう。

良く考えてみてほしい。そもそもそこまでして個人情報を保有する価値があるデータなのであろうか? あらゆる社内のPCの中に点在させておく意味があるのであろうか? そもそも集める必要があったデータなのであろうか?

もちろん、必要なデータは収集すればよい。しかし、それは安全な管理に費やすコストと、保有する漏洩リスクを踏まえた上で、合理的に「必要」と判断されたものでなければならない。漠然とした「必要となるかもしれない」という強迫観念で個人情報を収集することは危険だ。

情報収集をいかに合理的に進めるか、「情報収集癖」から脱却するか、企業のリスク管理において、大きな鍵となるだろう。

(Security NEXT - 2004/11/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、2017年最後の月例セキュリティ更新 - 脆弱性32件を修正
システム管理者アカウントが奪われ、個人情報約7万件が流出 - 阪大
「Adobe Flash Player」にセキュリティアップデート - 深刻な脆弱性は含まれず
Apple、「macOS High Sierra 10.13.2」などであわせて脆弱性22件を修正
企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず
不正アクセスで停止していた関連サイト、3カ月ぶりに再開 - 府中市
行政書士試験の一部答案用紙が所在不明に
ATM記録紙の紛失が判明、誤廃棄の可能性 - 高知銀
パーソナルデータを利活用する「情報銀行」の実証実験 - DNP
制御システムのセキュリティや脅威がテーマのカンファレンス - 2月に都内で