前回の「フィルタリングはB2Cの個人情報保護対策ツール」では,子どもの個人情報保護対策として注目を浴びるフィルタリングソフトを取り上げた。日本では,携帯電話をはじめとする通信キャリア各社が,迷惑メール,出会い系サイト被害などへの対策としてフィルタリングの普及に積極的だ。だが残念ながら,これらの企業でも個人情報漏えい事件は起きている。

 今回は,「KDDI情報漏えいで謝罪の憂き目を見た競合会社」で取り上げたKDDI個人情報漏えい事件について,その後の対応を見てみたい。


経営の最重要課題と再認識された個人情報保護

 KDDIは,2006年7月21日に「2007年3月期第1四半期決算短信」を発表した。その中の「1).経営成績」で,インターネット接続サービス「DION」の顧客情報399万6789人分の外部流出に触れるとともに,「3).事業等のリスク」で「当社グループは通信の秘密及び個人情報・顧客情報の保護を経営の最重要課題として改めて認識し対処してまいります」と述べている。

 株主に対し,個人情報保護が経営の最重要課題であることを宣言したわけだが,同社では,旧KDDの時代に国際電話の顧客情報約3万人分が代理店から流出し,総務省の指導を受けて顧客情報保護への取り組みを強化した経緯がある(2001年1月24日付「お客様情報保護に対する今後の取り組み強化について」参照)。再度の信頼失墜の代償は大きいだけに,経営トップにとっては正念場だ。


アクセス制御・監視対策の落とし穴はデータ保存期間と人事管理

 続く8月2日,KDDIは再発防止に向けた情報セキュリティ強化対策を発表した(「お客様情報流出の再発防止に向けた情報セキュリティ強化対策について」参照)。同社は,対策策定に際して,下記の4つの観点から再点検を実施している。

(1) 情報流出およびデータ抽出防止
(2) 証跡確保
(3) 情報セキュリティ対策の有効性測定,客観性確保
(4) 社員および業務委託先等社員に対する教育の徹底

 このうち,今回の個人情報漏えい事件で特に問題となったのが,2番目の証跡確保だ。今回の事件では,2003年12月18日までにインターネット接続サービスに申し込んだユーザーの個人情報漏えいが,2005年5月30日に発覚した。個人情報管理システムのある部屋には入退室管理を施しておきながら,肝心のアクセスログの保存期間は1年間だったと伝えられている。これでは,事件発覚後,誰が個人情報を抜き出したのか特定できるはずがない。アクセス制御・ログ監視対策への投資も無駄になる。

 このような事態を受けて,KDDIは監視カメラ映像,入退室ログ,システムのアクセスログを永年保存する方針を打ち出した。保存に必要なストレージ容量やファイル管理手段などを考えると思い切った決断だが,KDDIに勤務する従業者の個人情報管理の観点から見ると,別の問題が浮かび上がってくる。

 例えば,監視カメラに記録された映像情報で特定の個人が判別できるとすれば,個人情報に該当することになる。また,アクセスログの場合,いざという時,特定の個人を判別するためには,退職者も含めた従業者の個人情報やアカウント履歴を保存し続ける必要がある。永年保存となると,会社が保有する従業者の個人情報は年々膨れ上がっていくことになる。顧客情報を利用する現場と従業者情報を扱う人事部門では,適用される個人情報保護ガイドラインが異なる点にも注意が必要だ。

 一般の企業でも,短期雇用のアルバイト,派遣社員など,人の入れ替わりが激しい職場の場合,退職者情報は膨大な分量になる。個人情報を利用する業務に外部委託先の従業者が就いていれば,委託先企業の人事情報管理もリンクして,第三者提供など問題が複雑化する可能性がある。アクセス制御・監視対策の導入が増えているが,そこには人事管理の問題が付きまとうことを認識しておこう。

 次回は,技術的観点からKDDIの再発防止対策を考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/