2003年5月23日,個人情報の保護に関する法律(個人情報保護法)が成立した。公布後2年以内に施行される。同法では,個人情報の安全管理がキーとなるが,プライバシー・ポリシーやセキュリティ・ポリシーだけでは限界がある。
個人情報保護法は,個人情報を取り扱う事業者の義務を規定するものである。そのため,「個人情報を保護するための法律というより,取り扱いに関する法律」(グローバル セキュリティ エキスパート 代表取締役 山崎文明氏)という側面が強い。
個人情報保護法のポイントは3つ(表1[拡大表示])。個人情報の適正な取得,安全な管理,そして情報の持ち主本人がその取り扱いに関与する(本人関与)ことである。苦情処理が適切に行われない場合,罰則も設けられている。
 |
| 表1●個人情報保護法の主なポイント 個人情報保護法における主なポイント。取得や本人関与については明確に規定があるが,安全管理についてはあいまいで,実務的にも不十分な法律となっている |
同時に,認識しなければならないのが個人情報を所持することのリスクだ。1999年に発覚した京都府宇治市役所の住民基本台帳データ流出事件では,市役所側に1人当たり1万5000円の支払いを命じた判決が確定した。この判決がベースとなり,「個人情報が流出した際のリスクを定量的に計ることができるようになった」(アクセンチュア マネジャー 武田圭史氏)。
個人情報保護法を遵守する際に,最も難しいのが,第20条の安全管理措置である。ここでは,情報漏えいの防止だけでなく,滅失・き損の防止措置を取らなければならないことを定めている。岡村・堀・中道法律事務所 岡村久道弁護士は,「情報セキュリティ・マネジメントの3要素(機密性・完全性・可用性)を個人情報にも適用させたことのインパクトは大きい」としながらも,「操作ミスなどで事業者がデータを滅失させた場合,本人の権利が侵害されていなくても同法が適用されるとすると,疑問が残る」としている。また同時に,「どこまで安全管理措置を行っていれば良いのかという具体的基準がなくあいまい」とこの法律の問題点を指摘する。
まずはポリシー作成
しかし何も対策を講じないわけにもいかない。ラック コンピュータセキュリティ研究所 常務取締役 所長 三輪信雄氏は「まずは個人情報をランク付け,セキュリティ・ポリシーの中に明文化し運用していくこと」が最優先課題だとする。その上で,「ISMSなどの情報セキュリティ管理認証を取得することも目安となり,抑止力ともなる」(同氏)と言う。ただし,セキュリティ・ポリシーだけでは限界がある。
データを保護する観点からセキュリティ対策を見ると,(1)適正な権限のある人に適正な情報を見せる「アクセス制御」と,(2)いつ誰がどのデータにアクセスしたかを記録する「アクセス・ログ」の2つが必須となる。確かに,ほとんどの企業が外部からの不正アクセスを防御するためにファイアウォールを設置したり,アクセス・ログを収集したりしている。それでも,従業員の操作ミスなどの過失によって情報漏えいなどが起こった場合,どこまで対策を施していたかによって,企業の責任が変わってくる。そこで,企業内外を問わず,アクセス制御とアクセス・ログの取得を容易にしたり,補完する製品が出てきた(図1[拡大表示])。
 |
| 図1●アクセス制御とアクセス・ログの取得を容易にする製品が登場 個人情報を安全に管理するポイントは,アクセス制御とアクセス・ログの取得。個人情報保護法成立を受け,様々なハード,ソフトの製品が出てきた |
データ保護に役立つ製品が登場
(1)のアクセス制御には,メタディレクトリ製品がある(本誌2003年6月号のレポート「導入しやすいディレクトリ製品が続々登場」)。加えて,ID管理だけでなく,正規のユーザーによる操作を制御することも可能になってきた。米Microsoftの「Windows Server 2003」の追加コンポーネント「Windows Rights Management Services」を利用すれば,誰に何を見せるかを設定するだけでなく,印刷や電子メールによる転送の禁止なども設定できる。また,サイエンスパークの「4th Eye」は,デバイス・ドライバ層で動作するため,OSに依存することなく外部メディアへの保存や印刷などを制御でき,不正行為が生じた場合には強制的にシステム・ロックをかけることができる。
(2)には,ストレージ装置内でアクセス・ログを管理できる製品もある。米EMCのファイル・サーバー「Centera Compliance Edition」では,誰が何をしたかをメタ・データとして保持することで,改ざんを防止したり,保存期間の管理ができたりする。また,日揮情報ソフトウェアでは,データ監査証跡を行うソフトウエアを2003年暮れに販売する予定だ。同製品は,データ参照もSQL文単位でアクセス・ログとして記録する。日揮情報ソフトウェア 常務取締役 岩田アキラ氏は「データに対して何が行われているかを明らかにすることが,データを保護している証明の1つになる」と語る。従来まで,DBサーバーへのアクセス・ログを取るには2つの問題があった。Web APサーバーのセッション管理と,DBサーバーのコネクション管理と2段階であるため,誰が何をしたのかが簡単には分からなかった。そして,DBサーバーに対して発行される全てのSQL文のログを取ることはDBサーバーのパフォーマンスに影響を与えていた。この2つの問題を解決し,データ監査証跡を確実に行える製品となる。
