「個人情報漏えい事件を斬る(31):電力業界を悩ますファイル交換ソフトからの情報流出 」,「個人情報漏えい事件を斬る(32):IT業界や官公庁でも頻発するファイル交換ソフトからの情報流出 」で,最近のファイル交換ソフトによる情報流出の被害状況を整理してきた。今回は,ファイル交換ソフトによる情報流出の防止対策について,再度考えてみたい。


個人所有パソコンに頼らない職場環境作りが第一


 2006年3月8日付の朝日新聞によると,ファイル交換ソフトによる業務データ流出が相次いで発覚した防衛庁では,職務上必要があるのに官品パソコンが支給されていないすべての隊員に対し,官費でパソコンを支給する方針を固めたという。裏を返せば,個人所有パソコンなしでは業務が遂行できない状態が続いていたことになる。パソコン購入のために数十億円規模の予算が必要だという。

 実は,全国の警察でも同じような状態が続いていた。警察庁ホームページの「警察庁の訓令・通達 」に,2005年6月24日付の「職務上使用している私物OA機器等における情報管理の再徹底等について 」という通達がある。これをみると,私物パソコンに起因する情報流出が,数年前から全国規模の問題となっていたことが分かる。

 中堅・中小企業(SMB)でも,従業員が個人所有パソコンを使用して会社の仕事を片付けるケースは珍しくない。しかし,私物パソコンなしで日常業務が回らないような状態が恒常化すると,経営姿勢そのものに根本的な問題があるとしか言いようがない。日常業務をこなすために必要なIT投資と職場環境を提供しなければ,個人パソコンの利用やデータの外部持ち出しを防止することはできないだろう。政府機関なら情報流出の事態が発覚しても倒産することはないが,SMBにとっては死活問題である。必要なら,IT投資減税などの制度があるうちに手を打つべきだ。


実効性のあるルール策定には従業員を巻き込もう


 前述の警察庁の通達をみると,別添文書でWinnyとWinnyを利用したウイルスについて説明しているほか,私物OA機器の管理,外部記録媒体の管理,インターネット利用などについて細かく規定している。にもかかわらず,2005年6月に通達が出されてから,全国の警察でWinnyによる私物パソコンからの情報流出が続発している。

 第31回 で取り上げた関西電力では,2005年12月上旬の情報流出発覚後,緊急対策を講じた矢先に同じようなケースを招いている。第32回 で取り上げたNTT東日本・西日本も,発覚2週間後に同じような事態が起きている(「お客様情報等の流出に関するお詫びとお知らせ 」参照)。いずれの場合も,せっかく作ったルールが,防止対策として機能していなかったことになる。

 個人情報保護法上,いったん情報が流出したら,従業員を監督する立場の事業者が責任から逃れることはできない。ファイル交換ソフトを検出するウイルス対策ソフトやセキュリティ・サービスが相次いで登場しているが,会社で個人所有パソコンまで管理しようとしたら,膨大な費用と時間がかかる。

 いずれにせよ,実効性のあるルールを策定・運用するためには,現場の従業員の協力が必要不可欠だ。情報流出で一番被害を受けるのは従業員自身である。個人所有パソコンでのファイル交換ソフト使用の危険性を認識させることから取り組むべきだろう。技術知識がなくても,社会常識さえあれば対処できる問題だ。

 次回は,個人情報保護法に基づく改善命令を初めて受けた金融業界のその後について眺めてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/