「社内だけで情報漏えい対策を施せば十分だと考えている企業は少なくないようだ。だが,それだけでは不十分。業務の委託先まで含めて考えるべきだ」――。NTTデータ ビジネス開発事業本部セキュリティビジネスユニットの中山亮セキュリティビジネス担当課長代理は2月2日,東京ビッグサイトで開催されている「NET&COM 2005」の「ITソリューションセミナー」において,情報漏えいのリスクと対策について講演した(写真)。
過去明らかになった情報漏えい事件を同氏が調べたところ,それらの原因は主に以下の5つに分類できるという。
(1)運用ルール(セキュリティ・ポリシー)が決まっていない
(2)ユーザーIDやパスワードが共有されている
(3)適切なアクセス・コントロールが施されていない
(4)ユーザーのモラルが低い
(5)委託先まで含めて対策を考えていない
中山氏は,「過去の事例を見ると,委託先から漏れたケースが少なくない」として,(5)の重要性を強調する。そして同氏は,対策の一つとして「委託先を選定する際の条件を厳しくすること」を挙げる。具体的には「ISMSやPマークを持っているかどうかなどが条件になりうるだろう」とする。
また,契約の際にも注意すべきだと説明する。「例えば,個人情報に関する秘密保持や個人情報の提供禁止などを契約で定めるべきだ」(中山氏)。また,個人情報を扱う業務が勝手に再委託されて,その再委託先から情報が漏えいした事例を挙げて,「個人情報を扱う業務の再委託に関しても,契約で制限あるいは報告する義務を定めるべき」と強調する。そのほか,個人情報の管理責任者の氏名や施すべき対策などについても契約に盛り込むべきだと解説する。
もちろん,(1)~(4)についても重要だとする。これらの対策としては,「まずは『運用ルールの明確化と再徹底』が不可欠。そして,『アクセス権限を持つユーザーの人数を絞る』ことや『閲覧する必要がない情報は見えないようにする(マスク処理する)』ことが効果的。これらは,いずれもNTTデータで実施している対策だ」(同氏)。運用ルールの徹底のために,NTTデータでは社内セミナーや説明会を実施しているという。「情報漏えい事件が起きた直後は,1カ月に7回ほどセミナーや説明会を実施した」(同氏)
加えて中山氏は,社内監査の重要性についても解説した。「自分たちでシステムがきちんと運用されているか,ユーザーがルールを守っているかどうかを調べる。特に,個人情報を扱っているシステムや短期間で開発したシステムについては『高リスクと考えられるシステム』として,念入りにチェックする」(同氏)
(勝村 幸博=IT Pro)
