Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

車上荒らしから個人情報を守れ!

今週は個人情報漏洩事件が目立つ1週間だった。漏洩の原因も元社員による故意からうっかりミスまで、実にさまざまだったが、特に目立ったのは「車上荒らし被害」に伴う情報漏洩だ。金融業、サービス業、電力会社などあらゆる業種で被害が発生している。

大変希なケースだが、なかには漏洩した資料が回収されることもある。しかし、紙資料もデジタルデータも複製は簡単であり、第三者へ渡ってしまった時点で、「流出した」と考えておくべきだろう。

1日に約1300件の被害

車上荒らしや車両盗難は1年間にどの程度発生しているかご存じだろうか? 警察庁の統計によれば、2003年度に発生した車上荒らしの件数は「41万4819件」だという。車両盗難についても「6万4223件」が発生している。ちょっと計算してみると、毎日約1312件もの事件が発生していることになる。これはあくまで警察庁が認知した犯罪の統計なので、実数はさらに多いだろう。

車上あらしの場合、カギをかけずに車から離れていたケースが被害のうち約26%を占めている。また、自動車盗難においても、エンジンがかかっていた、あるいはカギが社内に放置された状態で盗まれたケースが約29%もあるという。ちょっとした気のゆるみから事件が発生している。また、残りの7割は、施錠したのにも関わらず、被害に遭っていた。

被害者だけど加害者

車上荒らしによる個人情報漏洩事件では、企業は被害者でありながら、同時に加害者にもなってしまう。被害者から見たとき、車内に個人情報が放置されているなど、管理が不十分だと、批判は避けるのは難しい。

万一企業が「被害者である」といった姿勢を見せれば、「管理責任を怠りながら何を言っているのだ」と、同情されず、むしろネガティブな印象を与えてしまうだけだ。

施錠していなかったケースは問題外だが、施錠していても確実に犯罪が起こっており、誰もが巻き込まれる可能性を持っている犯罪だ。

個人情報保護という気風が高まっている現在、個人情報が一時的にでも保管される営業車内においても安全を確保することが、企業にとって大きな課題と言える。

利便性とセキュリティのバランス

社外へ個人情報を持ち出すことは、大きなリスクが伴う。しかし一方で、個人情報を持ち出さずに営業を行うというのも非現実的といえよう。

営業において個人情報を持ち出す必要がある企業では、最低でも「いつ」「どこで」「誰が」「どのような目的で」「どのように」「どのような情報を」利用するのか把握し、管理しておく必要がある。

また、リスクを減らす方法を検討すべきだ。たとえば、「本当に持ち出す必然性がある情報なのか」「(複数の情報が含まれている場合)すべて持ち出さなければならない資料なのか?」など、実際調べてみると、本来は不要である個人情報が持ち出されているケースも多い。

そのほか、「個人情報を持ち出す際には、上司の許可を必要にする」といった対処も有効だろう。また同時に社員における個人情報保護への理解も高めておく必要があるし、ルールを破った際の罰則規定なども用意すべきだ。

ただし、利便性とのバランスも重要だ。ルールが厳しくなるということは、それだけ運用が難しくなるということ。せっかくのルールも形骸化してしまえば元の木阿弥だ。現場担当者や専門家と十分話し合い、実行可能な対策を用意したい。

また、事前に情報漏洩を想定した対処も重要だ。盗難に遭っても、個人情報が実質流出しなければ、消費者からの理解も得られるからだ。

コンピュータであるならば、パスワードによるロックはもちろん、暗号化による保護は必須と言って良い。また、原資料など盗難被害に遭った際に保護が難しいものに関しては、極力持ち出さないようにするか、第三者が個人を特定できないよう工夫しておきたい。

(Security NEXT - 2004/09/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

デジタル署名検証ガイドラインを公開 - JNSA
調剤済み処方箋や調剤録が所在不明 - 松戸市の調剤薬局
「Chrome 90」が公開、37件のセキュリティ修正 - 前回更新からわずか1日で
顧客情報を外部送信、表計算ファイルで別シートの存在気付かず - 横浜銀
米政府、サイバー攻撃など理由にロシアへ制裁 - SolarWinds侵害も正式に認定
改ざんで「偽reCAPTCHA」表示、外部サイトへ誘導 - ゲーム情報サイト
白泉社でサイト改ざん、悪意ある外部サイトへ誘導
Interop Tokyo、セキュリティ部門で4製品がアワードを受賞
「サイバーセキュリティお助け隊サービス制度」がスタート - まずは5社から
生保が契約法人向けに標的型攻撃メール訓練サービスを展開