エンドユーザーの何気ない行為が情報漏洩につながる事件が増えている。うっかりミスがあれば、危険な行為をしていることに気付いていないケースもある。不注意が原因でも、場合によっては企業の存続を脅かしかねない。最新のITツールで被害を最小限に食い止め、先行ユーザーのノウハウを知って社員のセキュリティ意識を根本から変えていこう。

(鈴木 孝知、小原 忍)

読者限定 【本特集の“予習”】を読む

Part 1:警告もう“うっかり”ではすまされない
Part 2:ITで防ぐ不注意による情報漏洩をツールの力で食い止める
Part 3:体制で防ぐ“教科書”を使い、トップと社員の意識を変える

【無料】サンプル版を差し上げます本記事は日経コンピュータ2003年6月30日号からの抜粋です。そのため図や表が一部割愛されていることをあらかじめご了承ください。本「特集」の全文をお読みいただける【無料】サンプル版を差し上げます。お申込みはこちらでお受けしています。なお本号のご購入はバックナンバー、または日経コンピュータの定期ご購読をご利用ください。

Part1 警告
もう“うっかり”ではすまされない

 仕事納めを翌日に控えた昨年12月26日の午後7時、福島県岩代町役場にSIベンダーのエフコムから緊急の連絡が入った。同日の午後に同社が預かった、全町民約9600人の個人データが入ったDAT5本が盗まれたというのだ。福島市内の駐車場で車上荒らしに遭ったのである(図1[拡大表示])。

図1●想定外の行動がセキュリティ・ホールになる

 岩代町は災害時に備え、毎月1回住民基本台帳システムのデータのバックアップを取り、エフコムに保管を委託していた。氏名、生年月日、性別、住所、選挙権の有無、国民健康保険の資格情報、住民票コードなど、住民基本台帳に記載される情報がすべて入っている。

 盗難から4日後の12月30日、福島市内の河川敷で、鍵がこじ開けられたジュラルミン・ケースとDAT3本が見つかった。残り2本はなかったが、「警察によるとDATケース内のテープにさわった形跡はなかった」(総務課の遠藤清一 主幹兼情報管理係長)。データも暗号化されていたため情報の漏洩はないように思われたが、住民票コードをすべて振り直すことにした。

 「福島県を通して総務省に相談したところ、情報漏洩の可能性が低いため、本人の要請なしに変更はできないと言われた」(遠藤係長)。そこで職員を総動員し、約2300ある全戸を訪問。住民票コード変更の手続きをした。

 鈴木雄公 総務課長は、「30日と31日の2日間に延べ170人を動員し、総力戦で手続きに当たった」と、そのときのことを振り返る。さらに、変更データをシステムに反映するのが大変だった。「バッチ処理で流すことができないため、正月三が日丸々かかってしまった」(遠藤係長)。

 結果論だが、業者が保管場所に直行していれば、今回の事件は起きなかっただろう。実は岩代町は、システム室は電子的に施錠し、基幹系と情報系ネットワークの分離、個人情報保護規定を含めたセキュリティ・ポリシーの策定など、多くのセキュリティ対策を施していた。当然、バックアップ・データの保管に関する契約書には守秘義務に関する記述がある。しかし「契約書には“直行する”ことは明記していなかった」(遠藤係長)。

経費+慰謝料で600万円

 このように、想定していなかった行動やうっかりミスがもとで情報漏洩などが発生するケースが増えている。岩代町役場の場合は外部の人間のミスだが、当然、社員の不注意な行動、何気ない行動による情報漏洩の可能性のほうが高い。そして、不注意だろうがうっかりミスだろうが、情報漏洩は組織や企業に、深刻な影響を及ぼす。

 岩代町の事件では、年末年始に職員が出勤した際の休日手当てをはじめとした経費が、約356万円かかった。今回は、この経費と「町民の信頼を失ったことに対する慰謝料としての250万円」(遠藤係長)の合わせて600万円をエフコムが支払うことで和解したため、結果として経費はかかっていない。しかしエルティ総合法律事務所 所長の藤谷護人弁護士は「民間企業であれば考えられない」と指摘する。

 「委託契約の場合、損害賠償の上限は年間委託額を超えないのが常識」(藤谷弁護士)だからだ。岩代町とエフコムとの年間契約料は20万円。通常であれば損害賠償金は20万円で、“慰謝料”どころか経費の大半を岩代町が持ち出さざるを得なかった。

 さらに藤谷弁護士は、「町の過失ということで町民から訴えられるリスクも考えておく必要がある」と続ける。その場合、「昨年末の、京都府宇治市役所のデータ漏洩に関する判決が一つの目安になる」(同)。同じような住民データの流出で、損害賠償額は一人当たり1万5000円だった。岩代町で全町民が訴えれば1億5000万円弱。岩代町年間予算の3.4%に当たる。

 ただ、「宇治市の場合、事件後にセキュリティ向上のために採ったさまざまな努力が認められて減額されるという、裁判としては異例の措置があった。セキュリティ体制を整えていた岩代町は、1万円を切る可能性もある」(藤谷弁護士)。それでも1億円近い。

 藤谷弁護士によると個人情報が漏洩した場合の損害賠償の額は、「情報の機密度」と「侵害の態様」の二つで決まる。前者は、住所や氏名などの基本データなのか、よりセンシティブな情報なのか。後者は、漏洩情報がどのような形で悪用されたかである。宇治市の場合は「基本的なデータで、情報は悪用されていないとされているため、下限に近い金額」(藤谷弁護士)だ。「例えば個人の病歴など、他人に知られたくない情報が漏れ、それがもとで刑事事件などに発展すれば、当然賠償額は高くなる」(同)。被害者の人数によっては、企業の存続を脅かしかねない。

続きは日経コンピュータ2003年6月30日号をお読み下さい。この号のご購入はバックナンバー、または日経コンピュータの定期ご購読をご利用ください。