車上荒らしから個人情報を守れ!
今週は個人情報漏洩事件が目立つ1週間だった。漏洩の原因も元社員による故意からうっかりミスまで、実にさまざまだったが、特に目立ったのは「車上荒らし被害」に伴う情報漏洩だ。金融業、サービス業、電力会社などあらゆる業種で被害が発生している。
大変希なケースだが、なかには漏洩した資料が回収されることもある。しかし、紙資料もデジタルデータも複製は簡単であり、第三者へ渡ってしまった時点で、「流出した」と考えておくべきだろう。
1日に約1300件の被害
車上荒らしや車両盗難は1年間にどの程度発生しているかご存じだろうか? 警察庁の統計によれば、2003年度に発生した車上荒らしの件数は「41万4819件」だという。車両盗難についても「6万4223件」が発生している。ちょっと計算してみると、毎日約1312件もの事件が発生していることになる。これはあくまで警察庁が認知した犯罪の統計なので、実数はさらに多いだろう。
車上あらしの場合、カギをかけずに車から離れていたケースが被害のうち約26%を占めている。また、自動車盗難においても、エンジンがかかっていた、あるいはカギが社内に放置された状態で盗まれたケースが約29%もあるという。ちょっとした気のゆるみから事件が発生している。また、残りの7割は、施錠したのにも関わらず、被害に遭っていた。
被害者だけど加害者
車上荒らしによる個人情報漏洩事件では、企業は被害者でありながら、同時に加害者にもなってしまう。被害者から見たとき、車内に個人情報が放置されているなど、管理が不十分だと、批判は避けるのは難しい。
万一企業が「被害者である」といった姿勢を見せれば、「管理責任を怠りながら何を言っているのだ」と、同情されず、むしろネガティブな印象を与えてしまうだけだ。
施錠していなかったケースは問題外だが、施錠していても確実に犯罪が起こっており、誰もが巻き込まれる可能性を持っている犯罪だ。
個人情報保護という気風が高まっている現在、個人情報が一時的にでも保管される営業車内においても安全を確保することが、企業にとって大きな課題と言える。
利便性とセキュリティのバランス
社外へ個人情報を持ち出すことは、大きなリスクが伴う。しかし一方で、個人情報を持ち出さずに営業を行うというのも非現実的といえよう。
営業において個人情報を持ち出す必要がある企業では、最低でも「いつ」「どこで」「誰が」「どのような目的で」「どのように」「どのような情報を」利用するのか把握し、管理しておく必要がある。
また、リスクを減らす方法を検討すべきだ。たとえば、「本当に持ち出す必然性がある情報なのか」「(複数の情報が含まれている場合)すべて持ち出さなければならない資料なのか?」など、実際調べてみると、本来は不要である個人情報が持ち出されているケースも多い。
そのほか、「個人情報を持ち出す際には、上司の許可を必要にする」といった対処も有効だろう。また同時に社員における個人情報保護への理解も高めておく必要があるし、ルールを破った際の罰則規定なども用意すべきだ。
ただし、利便性とのバランスも重要だ。ルールが厳しくなるということは、それだけ運用が難しくなるということ。せっかくのルールも形骸化してしまえば元の木阿弥だ。現場担当者や専門家と十分話し合い、実行可能な対策を用意したい。
また、事前に情報漏洩を想定した対処も重要だ。盗難に遭っても、個人情報が実質流出しなければ、消費者からの理解も得られるからだ。
コンピュータであるならば、パスワードによるロックはもちろん、暗号化による保護は必須と言って良い。また、原資料など盗難被害に遭った際に保護が難しいものに関しては、極力持ち出さないようにするか、第三者が個人を特定できないよう工夫しておきたい。
(Security NEXT - 2004/09/13 )
ツイート
PR
関連記事
紙出席簿が所在不明、デジタル利用で一時紛失気づかず - 都立高校
イベント当選者宛てのメールで誤送信が発生 - 宮崎市
ランサム被害で個人情報流出の可能性、調査を継続 - AIS
名古屋市営バスの料金箱で障害、料金徴収できず - アップデートが影響か
第三者が商標含むドメインで無断複製コンテンツ掲載 - LIFULLが注意喚起
Palo AltoのVPNソリューションのクライアントに脆弱性
通話の録音データ含むSDカード20枚が所在不明 - ビューカード
「PHP」に複数の深刻な脆弱性 - アップデートが公開
「M-Files Server」に認証バイパスやローカルファイル読み取りの脆弱性
Array Networks製VPN狙う脆弱性攻撃に注意 - 米当局が呼びかけ