個人情報保護への取り組みを各企業が率先して行っているにもかかわらず、個人情報漏えいや紛失がなくならない。ただこれは、「正しい情報管理ができていない」ことを示すものではない。以前であれば気が付かなかったことが、今になってどんどん表面化してきているにすぎない。個人情報に対する関心が高まっただけではなく、何が事故なのか、という判断ができるようになったため、重要視されるようになってきたのだ。
情報セキュリティにおいては、発生することが分かっている事故(インシデント)についてはすべて対応するという目標がある。今回は個人情報漏えいをキーワードとして、セキュリティ事故への対策を考えてみよう。
個人情報漏えいは大きな事故だといえるが、実際にはどのようにして発生しているのだろうか。例えば、その原因がノートパソコンの紛失・盗難だとすると、図1のように小さなことがつながって、情報漏えいが引き起こされることになる。
ノートパソコンを盗んだ犯人の立場になって考えてみよう。まずはノートパソコンの中にどんな情報があるのか、このノートパソコンを利用してどんなサービスを受けることができるのかを知りたいに違いない。そのためには、まずそのノートパソコンにログインする必要がある。ログインできたら、フォルダーをどんどん開いてファイルを探すだろう。もしかしたら検索用のユーティリティソフトなどを利用してファイルの検索を行うかもしれない。興味深いファイルを見つけ出したなら、そのファイルを開くはずだ。そして思惑通りの内容であれば、そのファイルを保存して、何らかの方法で公開したり、利用したりするわけだ。
ノートパソコンの紛失から情報漏えいまでの1つの例としてこのようなケースを挙げた。一つひとつの小さな事故をイベントと呼び、最終的な事故、ここでは情報漏えいをインシデントと呼ぶ。
会社に重大な影響を与えるインシデントを引き起こさないためにも、インシデントにつながるイベントの連鎖をさせないようにする。情報セキュリティ対策は、複合的に考えていく必要があるのだ。以降、例に挙げたイベントのそれぞれについて、具体的な対策を考えてみよう。
