訴訟されたらどうする?

 訴訟リスクなどを含む見込み損失の予防という点でもアピールしたい。マーケティングの要請から,Webサイトで個人情報を集めていたとしよう。京都府宇治市が市民の個人情報を漏洩した事件の高裁判決では,市レベルが管理する簡単な個人情報でも,それが漏洩した場合の賠償額は1人当たり1万5000円だということになった(http://www.mainichi.co.jp/digital/netfile/archive/200102/26-2.htmlhttp://www.law.co.jp/cases/uji2.htm)。サンプリングするための情報を1万件集めることができたとしたら,この総額は1億5000万円である。これがもっと付加価値の高い個人情報になると(例えば,氏名や住所,年齢などのほかに電話番号やメールアドレスまで漏れていたとなると),普通に考えれば1万5000円どころではなくなるはずだ。(http://www.mainichi.co.jp/digital/netfile/archive/200205/27-1.html)。

 それに,宇治市の例では実際に訴訟を起こした原告は数名だが,宇治市よりも付加価値の高い個人情報を漏洩したエステティック・サロンTBCの例では,Webページでプロフィール登録をすれば簡単に集団訴訟に加わることができるのだ(http://homepage3.nifty.com/tbc-higai/)。便利な世の中になったものだが,それだけ訴訟リスクは現実的になりつつある,ということでもある。

 それだけの金銭価値の伴う情報を取り扱う現場に,漏洩防止の対策はおろか基本的な取り扱いルールすら存在しないとしたらどうなることだろう。

 仮に個人情報を取り扱っていなかったとしても,取引先情報は必ず存在するはずだ。

 取引先情報を漏洩した場合のビジネス・インパクトは大きい。取り引きは停止されても止むを得ず,そのうえ訴訟されてしまう恐れもある(訴訟リスクに関する参考:http://homepage3.nifty.com/tbc-higai/tbchanrei.htm)。

表1●2002年の最後の3 カ月に起こった主な情報漏洩事件。毎日新聞社のWeb サイトに掲載された記事で調べた

 参考として,表1[拡大表示]に2002年の最後の3カ月に起こった情報漏洩事件をリストアップしてみた。ほんの3カ月の間に,よくぞここまで事件が起こったものだと驚かされるほど多い。そして事件を引き起こしてしまったサイトでは,情報の取り扱い方に関するルールや管理基準や手順,ガイドラインと技術的知識,そしてモラル(別掲記事「監視システム導入でモラルを保つ」を参照)のどれかが欠けていたということが原因のように見える。逆に言えば,欠けているサイトがそれほど多いということなのだろう。

 ポリシーを作ることでカバーできるのは,少なくともルール,管理基準・手順やガイドラインになる。技術的知識もガイドラインなどに埋め込んでおくことで補完することができる。

 ここでまとめておこう。ポリシーの「売り」となるものは,

●情報の取り扱い方を整理することで,余計なリスク・致命的なリスクを抱え込まないで済む
●訴訟リスクなどのコストを見込みで抱えたり,管理基準を確立させることで,取り扱いの混乱などを原因とするコストのロスをなくすことができる。また,手順を作成することで,厄介な引継ぎや業務トレーニングの負担が軽減され,コストも手間もかからなくなる
●従って,業務にかかるコストを減らしながら,リスクも減らすことが可能になる。結果として競争力を増すことが可能になる

というところだろう。もちろん,これはちょっと(どころか「かなり」かもしれないが)バラ色の売り文句ではある。しかし,セールス・ポイントとしては多少バラ色であってもよいだろう(それに事実でもある)。

監視システム導入でモラルを保つ

 セキュリティを保つためにはモラルが必要だ。しかし,スタッフにモラルは期待できるのだろうか。いや,そんな幻想は期待しない方がよいだろう。

 会社はリストラ(というより首切り)もするし,不祥事(というより事件・犯罪)も起こす。このような状況で,スタッフに向けて一方的にネイティブなモラルを期待することは間違いではないだろうか。それでも諸外国などに比べると日本はまだ良い方だったが,長引く不況の中,それももはや期待できなくなってきている。

 期待できないとしたら,どうすればよいのだろうか。

 スタッフをシステムなどで監視することが一つの代替案となる。極端な例で言えば,スタッフのPCすべてに画面モニターツールやキャプチャ・ツールを入れておき,スタッフのPC上での行動をすべてモニターするなどである。そこまでしなくても,セキュリティ・ポリシー・サーバーから各PCにアクセス・ポリシーなどをダウンロードし,それに反した情報のやり取りができないようにしてしまうシステムや,おかしなインターネット・アクセスをさせないためのコンテンツ・フィルタリング・ソフトウェアなどもある。データを集中的に管理し,クライアントPCに溜め込めないようにしてしまうシステムや,外に持ち出すとファイルを開けなくなる文書管理システムもある。

 もちろん,すべてのツールが期待通りの効果を発揮するかと言えば,そうとも限らないが,モラルなどには期待せず,システムで代替しようとする方がもはや賢い選択であるのかもしれない。

 特に,アクセス・コントロールは重要だ。人がよこしまな気を起こすのは,アクセス・コントロールがきちんとされていない,あるいはアクセス記録が取られていない,アクセス記録が取られていたとしても簡単になりすますことができる,などのケースが多い。アクセス・コントロールの仕組みを入れることも重要だが,きちんとログを取って監査を実施したり,アクセスを記録していることをスタッフに周知しておく必要がある。

 流通する情報の中身を,例えばある種のキーワードでチェックする内部情報漏洩対策ソフトウェア(検閲システム)や,インターネット・アクセスを制限するコンテンツ・フィルタも最近流行ってきている。こちらは逆に周知しない方が効果を上げる場合もあるだろう。

 ただ,この手の武装はやり過ぎると士気に響く。このことは覚悟しておいた方がよい。システムによるスタッフの監視は,プライバシやセクシャル・ハラスメントなどの問題をはらむ可能性もある。

 それに正直なところ,検閲システムそのものや検閲辞書にも疑問を抱かざるを得ない場合がある。例えば,あるドキュメントが検閲システムに引っかかったとき,その根拠をすべてのケースで説明できるかといえばそうではない。説明できなかった場合は,余計にプライバシなどの問題に発展する危険をはらむ。

 世の経営者の方々はどうも検閲システムがお好みのようだが,本当に導入するなら,その功罪を考慮してほしい。導入するシステムをスタッフに説明する際には(「説明しない」という手ももちろんあるが),納得できるような仕組みでなければならないだろう。

 このように,モラルのすべてではないにしても,その一部はシステムで代替することも考えられる。システムでどこまで代替し得るのかを事前に考えておくことが,導入のポイントになるだろう。

園田 道夫 Michio Sonoda

筆者は情報処理推進機構(IPA)の脆弱性分析ラボ研究員,および日本ネットワークセキュリティ協会(JNSA)の研究員を務める。JNSAではハニーポットワーキンググループ,セキュリティスタジアム企画運営ワーキンググループのリーダーとして活動している。MicrosoftのSecurity MVP。現在セキュリティ夜話(http://www.asahi-net.or.jp/~vp5m-snd/sec/),極楽せきゅあ日記(http://d.hatena.ne.jp/sonodam/)にて連続的に読み物掲載中。