2003年5月に成立した「個人情報保護法」により,多くの企業で今まで以上に個人情報の取り扱いには注意を払っていることと思う。今や,業務で個人情報を扱う社員(職員)一人ひとりが注意を払わなければならない。しかしながら,いまだに“ひとごと”だと考えている方は少なくないようだ。そこで今回の記事では,「個人情報とはそもそも何か」「個人情報はどのように漏えいするのか」「漏えいを防ぐ効果的な方法は何か」――といった,個人情報ならびにその漏えいの概要を解説する。特に注意すべきは,ノート・パソコンの社外への持ち出しである。
個人情報とは?
個人情報保護法では,個人情報は以下のように規定されている。
「生存する個人に関する情報であって,当該情報に含まれる氏名,生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ,それにより特定の個人を識別することができることとなるものを含む)」
同法に限らず,法律に関する文章は難解であるが,「氏名などの個人を特定するための情報と,その属性の集合」といえるだろう。
個人情報保護マネジメントの規格である「JIS15001」では,
「個人情報とは,個人に関する情報であって,当該情報に含まれる氏名,生年月日その他の記述,または個人別に付けられた番号,記号その他の符号,画像もしくは音声によって当該個人を識別できる情報です。当該情報だけでは識別できないが,他の情報と容易に照合することが出来,それによって当該個人を識別できる情報も含みます」
具体的には,「氏名」や「住所/電話番号」,「銀行口座番号/クレジットカード番号」などがすぐに思いつく。インターネットでショッピング・サービスなどを提供している企業であれば,「メール・アドレス」「クレジットカード番号/カードの有効期限」「購入履歴」「信用情報(与信情報)」なども加わると考えられる。
ただし,同法が施行されていない現時点では,どこまでが同法における「個人情報」にあたるのかは,解釈が分かれるところだ。とはいえ,企業においては,以下のようなシステムには,必ず個人情報が含まれていると言えるだろう。
- 顧客管理システム
- 受注システム
- 発送管理システム
- 営業支援システム
情報はいかに漏えいするのか?
これらのシステムから個人情報が漏えいした場合の被害の大きさについては,いまさら言及する必要はないだろう。賠償金や対応に要する経費といった直接的な損害だけではなく,企業の信用の失墜といった間接的な損害も免れない。場合によっては,こちらのほうが直接的な損害よりも甚大となるだろう。
それでは,情報はどのように漏えいするのだろうか。最近発生した漏えい事件を例に考えると,以下のようなケースが挙げられる。
(1)外部からシステムに侵入される
(2)システム内の重要情報が誰でもアクセス可能になっている
(3)内部の人間に持ち出される(内部犯行)
(4)内部の人間が持ち出した情報を盗まれる
(1)については,ほとんどの企業でファイアウオールなどで対策を施しているので,容易には侵入できないだろう。もちろんセキュリティに100%はないので,侵入される可能性はゼロにはできないが,一般的な民間企業ならば,一般的なセキュリティ機器を設置して,適切な設定ならびに運用を実施していれば,まず侵入を防げると考えてよいだろう。
それよりも,(2)のほうが問題である。インターネットを利用した顧客(会員)管理システムなどにおいて,会員情報を含んだファイルを閲覧可能なフォルダ(例えば,cgiプログラムなどと同じフォルダ)に置いたために,誰でも閲覧可能になっていた事件が少なからず起きている。これを防ぐには,システムを外部からアクセス可能にする前に,セキュリティ・ベンダーなどが提供するWeb監査サービスを利用することが有効だろう。
(3)については,(1)や(2)とは異なり,技術的な対策で防ぐことは難しい。情報へのアクセス権限を持つ人間が,与えられた権限を行使して,意図的にその情報を盗むのだから,容易には防げない。これを防ぐことは,「会社の金庫の鍵を持っている人間が,金庫中の現金を持ち逃げすることを防止する」ことと同じといえる。
これを防ぐには,アクセス権(鍵)を持っている人間を必要最小限にすることが第一だ。信用できる人間にだけアクセス権を与えておく。その人間が“出来心”を起こさないように,すべてのアクセスを記録して,そのことを周知させておくことも効果があるだろう。前述の例え話で考えれば,監視カメラを設置することに対応するだろう。
ノート・パソコンの情報を守る
(1)から(3)(特に,(2)と(3))のいずれについても,情報を守る立場からすれば,十分注意しなければならない。しかし,今回の記事では,(4)の危険性を強調したい。というのも,現状では,社員が業務を遂行するために,個人情報を収めたノート・パソコンなどを社外に持ち出すケースが増えているためだ。
本人にその気がなくても,個人情報を収めた機器やメディアを紛失したり盗まれたりすれば,その結果,個人情報が漏えいすることになる。これらを防ぐには,個人情報を持ち歩く社員に,情報漏えいの危険性を十分に認識させて,注意を払わせることはもちろん,以下のような技術的な対策が有用である。
(1)BIOSレベルでのユーザー認証
ノート・パソコンについては,「OSレベルで,推測しにくいパスワードを設定する」「レジューム/スタンバイ状態で持ち歩かない」――といった当然の対策に加えて,BIOSレベルでユーザー認証をするように設定しておくことが有効だ。パソコンの電源を入れた際に,パスワードを入力しないと起動しないようにしておく。
この場合には,パソコンを持ち歩く社員の情報から推測できないパスワードを使う必要がある。パソコンが盗まれた際に,その社員の手帳や名刺,運転免許証なども同時に盗まれる可能性があるからだ。
ただしこの対策では,パソコンを分解してハード・ディスクを取り出されることは防げない。そのハード・ディスクを別のパソコンに接続すれば,中身を見られてしまう。
(2)ファイルの暗号化
パソコン内の情報をファイルあるいはフォルダ単位で暗号化することも,情報漏えいの防止に有効である。暗号化しておけば,ハード・ディスクを取り出されても,中身を読むことはとても難しい。
とはいえ,これも万全ではない。特定のフォルダに入れたファイルだけを暗号化するように設定している場合には,そのフォルダ以外のファイルは容易に読み取れる状態になっている。個人情報を収めた重要なファイルを,暗号化対象フォルダに収めるようにユーザーが努めていないと,情報が漏えいする可能性がある。
(3)ディスクの暗号化
「重要なファイルなのに,暗号化対象フォルダに入れるのを忘れた」といったミスを防ぐには,ハード・ディスク全体を暗号化する方法が有効だ。例えば,パソコン起動時にユーザーIDとパスワードを入力したり,USBトークンを接続したりしなければ,ハード・ディスクの情報は復号されないようにしておく。現時点では,これが最も有効な情報漏えい防止策といえるだろう。
とはいえ,パスワードでユーザー認証する場合には,(1)と同様,安易なパスワードを設定しては意味がない。(1)~(3)のいずれの方法を採るにしても,適切な運用が伴って,情報漏えい対策として機能するのだ。
そして,適切な運用を可能にするには,なによりもユーザーの自覚である。個人情報を持ち出す社員には,その危険性を十分に周知させる必要がある。
林田 一樹 (HAYASHIDA Kazuki) 
NECソフト株式会社 IT事セキュリティソリューション部
ITコーディネータ,NCP プロジェクトオーガナイザ
IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
