インターネット セキュリティ システムズのCTO兼エグゼクティブ セキュリティ アナリストの高橋正和氏
インターネット セキュリティ システムズのCTO兼エグゼクティブ セキュリティ アナリストの高橋正和氏
[画像のクリックで拡大表示]

 「個人情報保護法が全面施行されても,情報漏えい事故は減っていない。特に,Winny(ウィニー)による情報漏えい事件が相次いで報告されている。漏えいさせたユーザーに問題があることはもちろんだが,業務実態を考慮していない社内ルールが原因の一つである場合もある」---。インターネット セキュリティ システムズ(ISS)の最高技術責任者(CTO)兼エグゼクティブ セキュリティ アナリストの高橋正和氏は11月24日,報道陣向けのセミナーにおいて,個人情報保護法施行後の情報セキュリティの現状などについて解説した。以下,同氏の発言内容の一部をまとめた。

 個人情報保護法が全面施行された4月以降,ファイル共有ソフトWinnyによる情報漏えい事件が頻発している。例えば,原子力発電所に関係する情報漏えい事故が3件も報道されている。漏えいした情報一つひとつはそれほど深刻なものではなくても,重要インフラ防御の観点からは,漏えいしたという事実がとても深刻である。

 WinnyをインストールしているPCで業務データを取り扱ったことは,そのユーザーの過失であり,責められるべきことである。だが,厳しすぎる社内ルールが,個人のPCで作業することを余儀なくしているケースもある。例えば,それまでは会社のノートPCの持ち出しを許可していたのに,個人情報保護法の全面施行に合わせて,持ち出しを全面禁止にした企業は少なくない。

 禁止するだけで業務に関する要求スピードが変わらなければ,社員としては会社から貸与されるノートPC以外の手段で業務をこなさなければならなくなる。その結果,データだけを持ち帰って,趣味で利用している自宅のPCでこっそり作業することになる。

 業務上不可欠な手段を「情報漏えいの危険がある」という理由だけで禁止にすることには無理がある。社員は,会社の管理下にない代替手段を用いて業務を遂行しようとするだけだ。例えば,ノートPCを持ち歩くことが業務上必要な社員に対しては,暗号化やセキュリティ・ソフトを導入するなどした,会社の管理下にあるノートPCの利用を許可したほうが,情報漏えいのリスクを軽減できる。業務実態とかい離した厳しいルールは,リスクを増大しかねない。