2006/04/24

情報漏洩事例と対策 -被害者から加害者とならないために-/大塚 邦夫

  情報セキュリティについてはこのコラムでも今年既に2回取り上げられていま
すし前回の私のコラムでも取上げましたが、最近情報漏洩のニュースが頻繁に報
道されてます。そのなかで参考になる事例をピックアップしましたので参考にし
て下さい。読者もまたかという思いで聴かれていることでしょうが実例から自社
に合った対応策を検討されてはいかがでしょうか。

●実態
 初めに漏洩の実態はどのような状況でしょうか。内閣府国民生活局企画課個人
情報保護推進室の発表によるとH17年度上期の件数は894件、1日平均約5
件発生していることになります。報告されているだけでこれだけあるのですから
未報告も入れるともっと多数に及ぶことは容易に想像できます。この894件の
うち顧客情報の漏洩が99%と言われてます。更にこの内氏名・生年月日・性別
・住所などの基本情報部分だけの漏洩はほんに僅かで多くは付加情報を含んでい
るとのことです。また事業所から直接漏洩したケースは全体の約78%で、委託
先から漏洩したケースは約22%です。次に漏洩に関わった者は従業員が約78
%で、意図的に行ったものは僅か6件に過ぎずほとんどが不注意によるものです。
更に特徴的なのはWinnyに絡んだ流出事件が多いことです。このソフトの特
徴はP2P(Peer to Peer)と呼ばれる方法で接続され非常に匿名性が
高く、流出した情報は不特定多数に人に流れていき制御できないことです。

●発生事例
(1)今年2月3日法務省によると京都刑務所の刑務官の自宅パソコンがウィルス
  に感染し滋賀刑務所、福岡拘置所の収容者のうち規律違反者の取調べ記録、
  施設の規則など内部文書など約1万ファイルが流出しました。データはCD
  -ROMを持ち出して自宅のパソコンに保存していたといいます。
(2)今年2月23日防衛庁の発表によると海上自衛隊の通信員の私有パソコンが
  ウィルスに感染し保存していた訓練資料がWinnyで流出したとみられる
  ということで、内容は自衛艦のコールサインの一覧などの「秘」や隊員の個
人情報の載った名簿が含まれていました。
(3)今年2月24日東京地方裁判所によるとは書記官が自宅のパソコンがウィル
  スに感染し民事執行に関わる約1千ファイルがWinnyネットワーク上に
  流出しました。この中には不動産競売の申立人や配当を受けた人の氏名や住
  所が含まれていたということです。
これら流出事件のほんの一部に過ぎません。この他にも電車の中にパソコンの入
ったカバンを置き忘れたり、USBメモリも持ち歩いて紛失したりすることは日
常発生しても少しもおかしくありません。

●原因
 故意に漏洩させる場合は論外ですが、これらの大きな原因の1つとして考えら
れるのが組織として、個人として公私の区別を付けていないことです。
上記事例のいずれの場合も個人のパソコンを仕事で使用しているケースで発生し
ています。法人として事業を営む以上公私のけじめを付けることが第一となりま
すし、労務上の問題があることは先のコラムで岩本さんが指摘した通りです。 
更に原因を掘り下げていけばいろいろな原因が更に浮かんでくることでしょう。
これ等の原因を掘り下げていくことは対策を考える上で非常に重要な要素となり
ます。これは企業規模の大小・官民の違いに関わらず同じことが言えます。

●対策事例
 防衛庁では上記事例以外にもその他一連の漏洩事件が発生しており、その対策
として平成18年9月末までに5万6千台のパソコンを40億円で調達すること
にしています。また防止策として以下の対策を検討しているとのことです。
(1)私物パソコンの使用禁止
(2)外部記憶媒体のICタグによる管理と無許可持出原則禁止、持出時の暗号化
(3)Webサイトへの接続制限や送信メールのチェック
(4)シンクライアントシステムの導入
(5)OS選択の検討
などです。これは一例ではありますがこれら漏洩事件は高く付くことを表わして
います。

●被害者から加害者にならないために
 これもちょっと話題になりましたがある民間企業ではウィルスに感染した
Winnyによる被害で特別損失4000万円を計上した事例もあります。
ネット社会は益々便利にそして社会のあらゆる場面に浸透してきますが、ネット
社会の匿名性の怖さ、無防備さ、相手の顔が見えないことによる無責任な行為等
々が闊歩することの懸念が高まっていきます。
 今回の事例で言えば私物を持ち込むあるいは持ち込みを見てみぬふりをしてい
ることが如何に高くつくか、監視のしくみ云々よりもむしろこのような事態を招
かないように根を絶つことが必要です。
あるアンケート結果によれば流出事件を起こしたサイトからは顧客の3分の1が
そのサイトから離れていっているという結果もあります。情報漏洩で高額の損害
を出しながら加害者として社会から糾弾されるのでは溜まりません。そうならな
いようにリスクを検討し、投資対効果を考えて取り組むことが肝要です。


■執筆者プロフィール

 大塚 邦雄
 情報処理システム監査、ITコーディネータ
 30年にわたるシステム経験をもとにIT化を支援します。
 e-mail:k_ootuka@mbox.kyoto-inet.or.jp

カテゴリ: 2006年