機密情報の漏洩経路として、意外に見落としがちなのがFAXだ。電子メールといった新しいコミュニケーション手段にのみ、情報漏洩のリスクが潜んでいるわけではない。本稿では、独自のリスク対策基盤を開発・運用する日立キャピタルにおける、FAXを対象にしたセキュリティ強化の取り組みについて、同社の情報システム部門長である平田信哉氏自らが解説する。電子メールのためのセキュリティ基盤を活用することで、多大な効果を上げている。
外部とのやり取りに伴う情報漏洩リスクを考える際に、電子メールに次いで重要な通信手段がFAXである。「なぜ今さらFAXが」と考える読者もいるかもしれない。しかし、クレジット会社でありリース会社でもある当社においては、販売店から当社に届けられる申込書の大半は、FAXを使って送られる。それだけに、FAXに関するセキュリティ対策を欠かすことはできない。
全国に5万店以上ある販売店からFAXで届くのは、クレジットやリースに伴う申込書だ。受け取った申込書は、全国に十数カ所にある本部拠点にさらにFAXし、信用情報センターなどに与信判定などを照会するわけだ。
2005年4月に個人情報保護法が施行されて以来、当社では毎月、「個人情報管理本部会議」を開催している。当初は、各拠点から本部に申込書をFAXする際に、誤って第三者に送信しクレームを受けたという報告がたびたびあった。しかしながら、厳しいルールで縛り罰則規定を設けても、いたちごっこになりかねない(図1)。そこで社長からは、システム面から業務部門をサポートするよう指示があった。
指示を受け、2006年1月に、社内のFAX送受信が外部に漏れてしまわないようシステム化をした。同年7月には社外誤送信対策、翌2007年8月には社外から受信するFAX文書は電子化した。さらに、商業登記や不動産登記といった登記書類関係の取得依頼も、司法書士の事務所に対してFAXで多数送信していることに対しても、工夫した。
社内だけで月間17万枚をFAX
具体的には、まず社内間の送受信については、FAX送受信用に新たに開発した専用ソフトをパソコンに導入した。スキャナで読み取った書類データを、IPネットワーク経由で送信する(図2)。これは、IP-FAXと呼ばれる仕組みで、珍しいものではない。
ただし、独自の工夫を施してある。FAXのプロトコルをハンドリングし、社内間で、いつ、だれがだれに何を送って、だれがそれを受け取ったかまでの送受信をログ管理できるようにした。アナログ方式のFAXプロトコルである「G3」をエミュレートして実現している。
最近の利用実数をみれば、実に月間17万枚のFAXが、社内間でやり取りされている。230台ぐらいのIP-FAX専用端末をネットワーク化しており、通常のFAX通信費で年間2500万円相当がコスト削減に繋がっている。
一方、外部に送信するFAXは、やはり誤送信が発生する。なぜ起きるのかを分析してみると、三つの原因が浮かび上がってきた。一つは、送信先を正しく入力できていないこと。二つめは、送信先番号を正しく登録していても、実際に送る際に別の登録先を間違えて選んでしまうこと。そして最後は、正しい登録先を選んでも、送信先のFAX番号がいつの間にか変わっていることである(図3)。
