前回の「監視映像やログの永年保存を決断したKDDI」では,KDDIが発表した個人情報漏えい再発防止対策について,ログの保存期間や人事管理の観点から取り上げた。今回は,技術的対策や内部統制の観点からKDDIの再発防止対策を考えてみたい。
個人情報保護が「内部統制」の柱になったKDDI
「内部統制」というと金融商品取引法(日本版SOX法)に目が行きがちだが,2006年5月1日に施行された会社法の影響も大きい。新しい会社法では,M&A/組織再編などの事前規制を緩和する一方,一定規模以上の企業経営者に対して会社の業務の適正さを確保するための体制として「内部統制システム」の整備を義務付けるなど,経営トップの説明責任(アカウンタビリティ)の強化策が顕著になっている。
前回,個人情報保護は経営の最重要課題であると,KDDIが株主に対して宣言したことに触れた。同社は「内部統制システム構築の基本方針」で,「経営目標の適正かつ効率的に達成するためのリスク管理」の中に「お客様情報等の漏洩の防止」を掲げている。ライバルのNTTグループも,「内部統制システムの基本方針」で「個人・顧客情報の保護」を明記しており,個人情報保護が内部統制に取り組む通信業界各社の共通課題となっている。
KDDIの場合,顧客情報流出の再発防止のための技術的対策は,業務部門レベルの情報セキュリティ強化にとどまらず,全社挙げての「内部統制」に関わる最重点施策の1つとして位置付けられることになる。通信業界に限らず,会社法上の「内部統制」の観点から個人情報保護対策の強化を急務としている企業は多いはずだ。
脚光を浴びるアイデンティティ/アクセス管理ツール
KDDIは8月2日に発表したリリースの中で,今年度内に実施する技術的セキュリティ対策として,下記の7項目を挙げている(「お客様情報流出の再発防止に向けた情報セキュリティ強化対策について〈別紙〉」参照)。
(1)社内の全業務用PCの端末デバイス規制 (USB,FD,CD-R等への書込み禁止) 徹底
(2)各種アクセスログの永年保存
(3)電子メールの監視強化
(4)Thinクライアント端末の運用部門などへの拡大導入
(5)顧客情報システムへのフォレンジクスツール導入による証跡保全強化
(6)顧客情報を取り扱う専用PCのセキュリティ対策強化(メール/インターネット規制の徹底,生体認証の導入,アクセスログの取得強化など)
(7)業務委託先などと顧客情報ファイルの授受を行うためのセキュアなファイルサーバ導入
このような対策を実際に導入するためには,人事系システムと連携しながら,社員や外部委託先のユーザーIDやパスワードのライフサイクル管理,個人情報システムへのアクセス権限管理などを効率的に行うツールが必要不可欠である。そこで脚光を浴びてきたのが,アイデンティティ/アクセス管理ツールだ。一般的には,下記のような機能が含まれている。
- シングルサインオン(SSO)
- ユーザープロビジョニング
- ディレクトリサービス
- 識別・認証管理
- 公開鍵基盤(PKI)
どれも情報システムの裏方で地道に利用されてきた技術で,特に目新しいものではない。セキュアな情報を取り扱う部門などで,部分的に導入されたケースも多いだろう。
会社法上の内部統制の観点からは,標準的なポリシーの下で一元的にアイデンティティ/アクセス管理を行う方が望ましい。内部統制が順守されているかどうか,経営トップが定期的にチェックしなければならないからだ。また,個人情報などを取り扱う業務委託先企業との連携などを考えると,標準化されたアイデンティティ/アクセス管理の方が望ましい。
いずれにせよ,個人情報保護対策を内部統制システム構築の一環と考え,その共通基盤としてアイデンティティ/アクセス管理を検討する必要があるだろう。
KDDIの事例は,個人情報保護法と会社法の関係を考えるのにちょうどよい機会だ。次回は,組織的・人的対策の観点に踏み込んで考えてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
