このページの本文へジャンプ

文字の大きさ

ここから本文です

個人情報をどう守るか 個人情報をどう守るか
第1回 個人情報が漏れる原因

2005年02月07日
 最近、マスコミを賑わせる、個人情報漏洩に関する事件が後を絶ちません。それに関連して「個人情報保護法」も成立、にわかに個人情報が注目を集めています。ところで、なぜこのような事件がとめどなく引き起こされるのでしょうか。また、その防止のためにはどうしたらよいのでしょうか。

 この連載では、個人と組織(法人)それぞれの視点から、個人情報を守るためにするべきこと、しておいた方がよいことを紹介していきます。  まず今回は、なぜ個人情報が簡単に漏洩するようになってしまったのか、その理由を考えてみましょう。

利便性に潜むリスク

 まずあげられるのは、コンピュータ、インターネットが広く普及したことです。ユーザーはショッピングサイトで氏名や住所などを入力してメンバー登録を済ませれば、クレジットカードの番号を入力することで、自宅にいながらにしてDVDから車まで購入できる時代になりました。

 一方、こうした情報を収集・管理する企業側では、こうして得た顧客情報をデータベース化して蓄積しています。コンピュータに保存された電子データは従来の紙ベースのデータと異なり複製を作成するのが容易で、ネットワークを介して転送することも可能です。
 また、ノートパソコンや、USBメモリのようなリムーバブルメディアが普及したことにより大容量のデータを手軽に持ち運ぶことが可能となりました。

 しかし、こうした利便性の裏には、ネットワークを介しての顧客データへの不正アクセス、ノートパソコンの盗難、リムーバブルメディア紛失といったリスクも存在することを忘れてはいけません。そして、こうしたリスクが現実のものとなってしまったのが、これまでのケースなのです。

結局は「人」

 最近のケースを振り返ってみると、その原因は外部ネットワークからの不正アクセスのようなシステム的なリスクによるものより、内部の人間が関与している「人的」リスクによるものの方が多いことに気づきます。

 たとえば2004年の2月に個人情報の漏洩が発覚したソフトバンクBBのケースでは、直接のデータの引出しはインターネットからの不正アクセスによるものでしたが、顧客データを引出すために必要な内部情報は、以前ソフトバンクBBで働いていた派遣社員から漏洩したものでした。このようなケースでは、システム的なアクセス制御を徹底することも重要ですが、いかに人を教育し、管理するかという点が重要になってきます。

 また故意に内部の人間が情報を外部に持ち出した場合、「だれが・いつ・どこから・どのように・どのデータを持ち出したのか」という後追いを行うにしても、こうした仕組みがシステムにもともと組込まれていない限り、非常に困難となります。
 2004年の3月に個人情報の漏洩が発覚したアッカ・ネットワークスのケースでは、調査の結果、犯人が社員もしくは派遣社員というところまで絞込むことはできましたが、具体的に誰なのか特定するにはいたりませんでした。

「個人情報保護法」の誕生

 こうした時代の流れを受けて登場したのが、「個人情報保護法」です。個人情報保護法では個人情報を「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それによって当該個人を識別できるものを含む)」と定義しています。

 このように、個人情報保護法によって、これまで曖昧だった企業が個人情報を取り扱う際の義務が明確化され、義務を果たさなかった場合、行政処分が下されることになります。
 とはいうものの、事前に漏洩を防ぐことができれば、当然それにまさることはありません。そこで次回以降、その具体的な方策を考えてみましょう。
村上 純一 (むらかみ じゅんいち)
株式会社ラック コンピュータセキュリティ研究所に勤務。研究員。
セキュリティコンサルタント業務や、ソフトウェアの脆弱性を発見する業務に携わる。
■ホームページ作成サービス
ホームページの開設から更新までパックでご提供!
お問い合わせ/お申し込み
■ショップ構築おまかせパック
インターネットショップ開設も月額8,000円(税込8,400円)から!
お問い合わせ/お申し込み