個人情報はできるだけ取らない

 では企業はどう対処すればよいのか。リスクが高まっている状況で,従来通りのセキュリティでは必要なレベルには達せない。

図3●今,企業が実施すべきレベルはどこまでなのか
個人情報の流出に対するリスクの高まりにつれ,企業がその流出を防ぐ対策として必要とされるレベルは高まってきた。個人認証やアクセス・ログの管理などシステム的にも比較的高いレベルの対策が必要とされる

 セキュリティ確保の第一歩は,“どんな情報を,誰がどこで,どのように使っているか”,現状を明確にすること(図3[拡大表示])ではあるが,その前に,個人情報のリスクが高い状況では,個人情報をできるだけ取らないことが重要だ。ヤフーでは「サービス提供のために必要最低限のものしか取らない」(法務部 部長 別所直哉氏)と明言する。「個人情報にもレベルがある。まず取らないことからスタートすべき。多くの企業は“取っておいてからフィルタをかける”から複雑になる」(シーピーデザインコンサルティング 鈴木氏)。

 システム構築の受託側としても「できるだけ個人情報は受け取らない。受け取らざるを得ない場合でもマスキングは必須」(住商情報システム 技術グループ プロジェクト管理部部長 向井清氏)である。ただし生データが必要になる場合もある。「既存システムのチューニングとかには必要。その際は案件ごとに対策や契約が必要になってくる」(電通国際情報サービス eプラットフォーム技術部 プラットフォームソリューショングループ 統括マネージャー 芝田潤氏)

 次に,一般的にはセキュリティ・ポリシーやルールを作成し,社員に周知・教育する。これらが必要な点は従前と同じ。ただポリシーなどは必須ではなく,重要なのは本当に適切に運用できているかだ。ISMS認証*制度においても「会社として規定がなくても,案件ごとにリスクの洗い出しと基準作成,運用,チェック,改善,などがなされていれば取得できる」(シーピーデザインコンサルティング 鈴木氏)。

 モラルが低いために発生する情報漏えいが多い点を見れば,従来よりも周知や教育が重要になる。1999年7月に,NTTとNTTドコモにおける顧客データの流出が発覚したが,NTTドコモではその後の対応として最も強化した点は「社員や代理店従業員のモラル向上」(NTTドコモ 営業本部 顧客サービス部 顧客サービス推進担当部長 岩田裕樹氏)である。NTTドコモでは社員と派遣社員,代理店からの情報漏えいであった。現在ではテキストやビデオを使った教育を,代理店であれば入店時と年1回定期に実施するなど,合計で年回30回程度の研修を開いている。

行為者をすぐに特定できるかが重要

図4●システムで可能な対策のすべて
最も重要なのは,ユーザーごとに個人情報へのアクセス内容を監視すること。監視されていることで抑止効果となると同時に,情報の流出が発見された際の対応が迅速になる。また,正当なアクセス権限があるユーザーからの情報漏えいを防ぐためのツールも出てきた

 運用のためのシステム的な対応には,様々なポイントがある(図4[拡大表示] )。大きく分ければ,(1)入室管理やネットワーク管理によるエリアへの不正侵入防止,(2)個人認証やサーバーへのログイン/アクセス権限の管理でサーバーへの侵入防止や監視,(3)メールやリムーバル・メディアの制限などによるデータ持ち出し防止,となる。

 これらのなかで(1)は,リスクによって程度の差はあるが必須と言える。厳しく実施している企業では例えば,カブドットコム証券は虹彩認証による入室管理を実施,ヤフーではIDカードによる入室管理に加えて個人情報を扱う部署はさらに部屋のなかに仕切りを設けて管理している。

 システム的な対策として最も重要となるのは,誰がいつどのデータにアクセスしたか“トレーサビリティ”を高くすることだ。それは抑止効果と,事件発生後に被害を最小限にするためである。“誰がやったかすぐばれる”という認識が利用者にあれば,漏えいを起こす気になりにくい。またUFJつばさ証券の場合はアクセス・ログが無くなっているため,行為者や経路が特定できていない。自社で行為者を特定できないことや具体的な再発防止策がでないことは,顧客の信頼を低下させる要因となるだろう。

 そのためにまず,誰がアクセスしたか,個人認証が必要となる。多くの企業ではID/パスワードのみだが,「個人任せでは管理にならない」(大成建設 社長室 情報企画部 課長 北村達也氏)という意見も増えてきた。大成建設では企業ポータル・サイトにおいて,RSAセキュリティの「SecureID」を使ったワンタイム・パスワードとID/パスワードを組み合わせた認証を実施している。カブドットコム証券では指紋認証を,宇治市役所ではICカードを使っている。

 アクセス権限は,どのデータにアクセスしたのかまでトレースできるようにしなければ,行為者の特定につながりにくい。サーバーのログインだけでなく,アプリケーションの操作レベルまでのログが必要になる。アプリケーション単位での作り込みが必要になり,コストがかかるし,設計段階で考慮していく必要がある。住友林業情報システムではSQL文の条件句レベルでログを取るためのソフト部品を開発標準として用意している。宇治市役所の木村氏は「業務パッケージでセキュリティ意識の低い製品では,対応できない」という問題を指摘する。

正当な利用者の持ち出し対策は困難

 これらの対策を施したとしても,アクセス権限の無い人に対する防止策にはなるが,正当な権限がある人には抑止策でしかない。正当な権限がある人の情報漏えいを防止できるかが問題として残る。ただ,どこまで対応すべきかは企業単位で判断が違ってくるだろう。対策はコンピュータ・システムの便利さを損なう形になるからだ。

 宇治市役所の場合は,ICカードのアクセス権限によってフロッピ・ディスクやMOなどリムーバル・メディアは利用を制限し,電子メールは上司に同報,パソコン間の接続は不可,といった対策を講じている。ただしこれでも完全とは言えない。正当なアクセス権限者が自らプリント・アウトした用紙を持ち出せば,情報漏えいになってしまう。

 一方,ツールによって,印刷を禁止することや暗号化によって持ち出せない形にする製品もいくつか登場している。例えばアークンの「DataLink」は,管理者が指定したPC上のアプリケーションでファイル保存する際に暗号化してそのPC上でなければ復号化できなくする機能を備える*5。印刷の禁止や他のアプリケーションへのコピー禁止も同様だ。ただし,OSごと再インストールしてDataLinkを消されてしまう場合にはまだ対処できないなど,完全な解には至っていない。

(森側 真一=morigawa@nikkeibp.co.jp)