「企業の個人情報の扱い方とPtoPソフトの利用が情報流出につながっている」，米Reconnexの調査

ITPro

2005.08.24

　米Reconnexは，企業のリスク管理に関して7月に収集したデータの統計結果を米国時間8月22日に発表した。それによれば，米企業において従業員の個人情報の漏洩とピア・ツー・ピア（PtoP）ファイル共有ソフトの利用が増加しており，企業は深刻な危険にさらされているという。

　同社の「Reconnex 48-Hour e-Risk Assessment」で7月にリスク評価を実施した企業のデータを集めた結果，91％の企業は自社ネットワークでクレジット・カード番号の流出，82％の企業では社会保障番号の流出があった。

　ファイル形式や通信チャネルに関係なく，企業ネットワークを通過したトラフィックをモニターした結果，80％はWebベースのトラフィックだった。13％がSMTPベースの電子メール，10％のコンテンツは暗号化されたものだった。

　個人情報流出の大半は，人事部門によるものであり，ヘルスケア，給料などに関して提携する企業に誤って従業員の情報を明らかにしてしまうものだった。個人情報には，従業員の名前，誕生日，社会保障番号などが含まれており，通常Excelのスプレッドシートとテキストで送信されている。スプレッドシートには，数千～数万件の個人情報が含まれることもあるという。

　また，同評価を実施した企業の80％で「BitTorrent」「Gnutella」「eDonkey」「WinMX」といったPtoPソフトが検出された。これらの企業は，著作権があるコンテンツの違法な配布，不注意な情報流出，スパイウエアを通じた情報流出といった危険に直面している。たとえば，企業ネットワークが意図的なコンテンツの違法配布に使用された場合には，1件につき最大15万ドルの損害賠償金が請求される可能性がある。

　個人情報に関して大半の企業は，従業員が社内において電子メールを使ってやり取りしていることは気に留めない。しかし，そのような電子メールが保護された企業ネットワーク外に返信または転送という形で送信される場合，情報が公衆インターネットを介して暗号化されずに外にでることになるため，顧客や従業員と交わしている個人情報保護に違反することになる。

　多くの企業が電子メールの添付ファイルのサイズに制限を設けている。そのため，従業員は，企業の管理を逃れるためにWebメールを利用していることも明らかになっている。サイズが大きい重要なファイルは，個人のWebメールを使って送信されている。

　7月には，米CardSystemsからおよそ4000万人のクレジット・カード情報が流出した。これにより，米Visa，米American Expressは，同社との契約を打ち切っている。Visa社がCardSystems社の調査を行なった結果，カード保有者の情報を保護するための適切な管理が行なわれていなかったことが明らかになっている。Reconnex社は，「適切な管理を行なっていないことが，多くの企業にとって隠れた脅威となっている」としている。