Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

いつのまにか不要な「リスク」を集めていませんか?

先日、某プロバイダから7000件近い個人情報が流出する事件が発生した。ウェブ上で実施したアンケート結果が誰でもアクセス可能だったために発生したもので、データに対し200回以上のアクセスが行われていたという。

ウェブ上から個人情報が流出する事例は多い。Web Application Securityフォーラムが今年前半に発表した内容によれば、数%のウェブサイトを除き、サイトの規模大小にかかわらず、ウェブアプリを利用しているサイトでは何らかの脆弱性があるとしている。

以前はロボット型検索エンジンがアンケート結果まで巡回してしまい、検索結果に大量の個人情報が表示されてしまったという悲惨なケースも良く眼にしていた。最近は減少しつつあるといえども、驚くべきことにウェブ上の公開領域においてデータを保存しているケースが未だ存在している。

そもそも「そのデータ」は本当に必要だったのか?

今回の流出事件では、氏名や住所、性別に加えアンケートの回答内容が流出している。しかし、すでに顧客であるアンケート回答者から、あえて「氏名」や「住所」などを既知の情報を再取得する必要があったのだろうか?

すでに顧客であるならば、アンケートを実施するにあたり、シリアルナンバーを付与し、ウェブ上で記入してもらう際には、個人を特定できる情報ではなく、シリアルナンバーとアンケート結果を入力してもらえれば、それで良かったのではないだろうか。そうすれば、シリアルナンバーがどの顧客に割り振られているのか、大元のデータベースを参照されなければ、個人は特定されない。

最近では、アンケート実施する際、利用目的を明示したものも増えてきた。「アンケート結果は、集計だけに利用する」としたものも増えている。しかし、それでも個人情報の入力を促すものが多い。集計だけに利用するとしているのに、なぜ個人情報を収集するのであろうか。従来のひな形に沿ったアンケート造りが依然行われている。

以前は、顧客データは、多ければ多いほど、「マーケティング」に役立つとされ、あらゆる情報が収集されるのが常であった。しかし、個人情報漏洩問題を背景に、その手法はすでに時代遅れとなりつつある。不用意に個人情報を集めれば、それらは大きなリスクとなってしまうからだ。

ひとつのテーブルで完結したデータの恐怖

安易に収集されたアンケートデータは、一覧表としてひとつのテーブル(シート)で管理されることは容易に察しが付く。そのデータがその後どのような運命を辿るか想像してみよう。

必要と名乗りを上げた部署に配布され、それぞれ担当者が個別に管理することにでもなれば、もはや企業として統一管理は不可能だ。そしてそれぞれの社員において「盗難」「紛失」「社員の退社」「故意の漏洩」など、あらゆる危険が伴う。

その上、誰がいつ、どこでデータを利用したのか、トレースすらできない。このような状況が放置されていれば、企業の管理責任が大きく問われることは間違いない。個人情報保護法が施行されれば、行政指導の対象となるだろう。

良く考えてみてほしい。そもそもそこまでして個人情報を保有する価値があるデータなのであろうか? あらゆる社内のPCの中に点在させておく意味があるのであろうか? そもそも集める必要があったデータなのであろうか?

もちろん、必要なデータは収集すればよい。しかし、それは安全な管理に費やすコストと、保有する漏洩リスクを踏まえた上で、合理的に「必要」と判断されたものでなければならない。漠然とした「必要となるかもしれない」という強迫観念で個人情報を収集することは危険だ。

情報収集をいかに合理的に進めるか、「情報収集癖」から脱却するか、企業のリスク管理において、大きな鍵となるだろう。

(Security NEXT - 2004/11/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

デジタル署名検証ガイドラインを公開 - JNSA
調剤済み処方箋や調剤録が所在不明 - 松戸市の調剤薬局
「Chrome 90」が公開、37件のセキュリティ修正 - 前回更新からわずか1日で
顧客情報を外部送信、表計算ファイルで別シートの存在気付かず - 横浜銀
米政府、サイバー攻撃など理由にロシアへ制裁 - SolarWinds侵害も正式に認定
改ざんで「偽reCAPTCHA」表示、外部サイトへ誘導 - ゲーム情報サイト
白泉社でサイト改ざん、悪意ある外部サイトへ誘導
Interop Tokyo、セキュリティ部門で4製品がアワードを受賞
「サイバーセキュリティお助け隊サービス制度」がスタート - まずは5社から
生保が契約法人向けに標的型攻撃メール訓練サービスを展開