山下:再発を防止するために何をすべきでしょうか。

小林:うむ…。今回の事故の原因は何だったと思うかね。

山下:いくつか考えられますが,最大の原因はセキュリティ・ポリシーが守られていなかったことでしょう。情報持ち出しを上長に届け出ていなかったわけですから。

小林:そうだな。情報セキュリティ・ポリシーの順守を徹底するように指導する必要がありそうだ。まずは,今回の一件でどれだけの損害があったのかを示すことにしよう。

 情報漏えいの損害の内訳は多岐にわたる。事故への対応に伴って発生した作業や経費だけでなく,信頼低下に伴う売り上げ減なども含める必要がある。情報漏えいに伴う会社の被害額は,JNSA が独自に作成した「想定損害賠償額」算定式に基づいて算出したり,損害保険会社などに依頼して算定してもらったりする。

[参考]
2005年度 情報セキュリティインシデントに関する調査報告書

小林:セキュリティ・ポリシーの順守を徹底させるだけでは不十分だな。心がけでは紛失や盗難はゼロにはできなさそうだ。何かいいアイデアはないかね?

山下:「個人情報取り扱いマニュアル」を作るというのはどうでしょうか。

 一般の社員向けの「盗難・紛失対策」のマニュアルは,以下のような具体的なポイントを整理しておく。

・電車の網棚にカバンを置かない
・カバンを放置したまま車から離れない
・飲食店ではカバンは身近に置く・携行するデータは暗号化する (PC 内データ,USB メモリ)
・不要な情報は持ち歩かない
・持ち歩くカバンの中身を常に把握しておく

 さらに,定められた手順に従って社外に持ち出したデータを読み取る私物パソコンについては,Winnyなどのファイル交換ソフトのインストールを禁止したり,ウイルス対策ソフトをインストールを徹底するなどの内容も明示して徹底しておく。

山下:情報を漏えいさせた社員の処分はどう考えるべきでしょうか。

小林:厳しすぎると,今後同じような事故が発生したときに隠ぺいする社員がでてきそうだしな…。

 注意すべきなのは,情報を漏えいさせた社員への罰則だ。厳しく指導すると,同じような事故を隠蔽する社員が出ないとも限らない。社員が正直に漏えいの事実を会社に届け出た場合は,訓戒処分程度で済ませ,その一方で社長を含む部長以上に対して数ヶ月の減俸などの処分をするのが一般的である。処分の程度は情報漏洩事故による会社の信頼度や営業利益,株価などの低下具合を鑑みて判断する。また,部長以上の処分内容は今回の件を開示した範囲に同じように開示する。

 つまり正直に届け出た者に対しては,注意はしても基本的には届け出たことをほめ,逆に漏えいの事実を隠し,後になって外部から漏えいの事実が知らされた場合には,漏えいした社員に対して厳しい態度で臨む。このようにして漏えいの事実を隠さずに必ず報告させるように指導することが重要である。

小林:それから,セキュリティ・ポリシー事態の見直しも必要そうだ。ポリシーが実体に合っているか,いないとしたらどのように改訂すればよいか検討してくれないか。

山下:わかりました。

 いろは物産の事故の一因は,顧客情報へのアクセスについてのポリシーが実態に合った形で整備されていなかったことにもあった。そこで顧客情報へのアクセスについて以下のような制限を加えることになった。

(1)顧客情報へのアクセスは情報システム部のみ可とする

(2)営業部については課長名での申請が情報システム部にあった場合のみ情報システム部よりCDで課長に手渡しする

(3)情報システム部より提供される顧客情報は以下の情報のみとする
  ・顧客ID
  ・住所(町名まで)
  ・取引日時
  ・購入商品のコード番号および個数
  ・取引金額

(4)CD は複製不可,社内 PC のハードディスクへのコピーも不可

(5)作業終了後,情報システム部に返却し,情報システム部で破棄

山下:セキュリティ・ポリシーが守られているかを確認する必要はないでしょうか。

小林:ううむ…。ポリシーの運用実績報告を定期的に報告してもらうことにするか。定期的に外部のコンサルティング会社による監査を受けることも考えてみようか。

 セキュリティ・ポリシーを策定,見直しを行なっていても,それが厳格に運用されていなければ意味がない。定期的に運用実績を確認する体制の整備が必須である。「いろは物産」では各部署の課長にセキュリティ・ポリシー運用実績報告を毎月提出させるように義務付けた(図5)。

図5●○○部○○課セキュリティーポリシー運用実績報告書
図5●○○部○○課セキュリティーポリシー運用実績報告書
[画像のクリックで拡大表示]

 このような再発防止策は,簡潔にまとめて全顧客に周知する。最初の情報開示の際と同様に外部との接触が想定される全部署の全担当者に対して再発防止策の理解を徹底させることも重要だ。


[参考]
 個人情報保護に関しては各省庁からガイドラインが提示されているので,監督省庁が公開しているガイドラインの内容を理解しておくとよいだろう。

・経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

・総務省「電気通信事業における個人情報保護に関するガイドライン

・金融庁「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針

・農林水産省「個人情報の適正な取扱いを確保するために農林水産分野における事業者が講ずべき措置に関するガイドライン

押田 政人(おしだ まさひと)
セキュリティを専門とする IT ライター。翻訳にも携わる。最近手がけることが多いテーマは、セキュリティ対策に必要な企業内組織体制。長年セキュリティ組織のメンバーとして活躍してきた。そこで培った豊富な知見と人脈が強み。

<< その4