先週から今週にかけて目立ったのは、従業員の故意による個人情報の持ち出し事件だ。地下鉄の駅従業員が、端末で不正に得た情報をブログに掲載する問題や、高速道路職員が給与データを不正に入手していた問題が明るみに出た。
内部犯行による個人情報漏えい事件としては、大日本印刷のデータ持ち出し事件が記憶にあたらしい。内部犯行の場合、金銭目的のケースが多く、データベースをまるまる持ち出すなど事件の規模が大きくなることも多い。
地下鉄職員の事件は、件数としては1件と少なく、従来の巨大流出事件とは異なる。とはいえ、昨今ブログやSNSにおけるセキュリティ、倫理上の問題など指摘されることがしばしばあり、それと企業からの情報漏えい事故が組み合わさったことで、インパクトがある事件となった。
札束を誤廃棄する銀行はない
最近ではメールのフィルタリングや入退室管理の強化、USBメモリの利用制限など、内部犯行による情報漏えいへの対策に取り組む企業も増え、対策製品も充実してきた。携帯電話のカメラなどに警戒し、私物の持ち込みについても厳しく制限する企業もある。
もちろん、ソリューションで防止するのは効果的だが、業務の内容によっては制限が難しいケースも多い。業務上取り扱うデータの持ち出しは、データを取り扱う人間の「意識」がまずは大きな問題だろう。
業務上預かった金銭を懐に入れてしまえば、横領事件だ。重大な犯罪行為であるとの意識を多くの人が持っているだろう。目の前に金銭があっても横領に至る前にブレーキが働く。
しかし個人情報の不正取得は刑事上の罪に問うことが難しい。さらに金銭と異なり実体がなく、複製が可能という性質もあり、それを不正に取得することに対して、金銭横領と同じような「罪の意識」を感じにくい。
個人情報の取り扱いについて、軽く見られていることを示す象徴的なでき事は金融機関における事故だ。金融機関では、「1円が合わない」だけでも大きな問題となる。金額の大小ではなく、専門機関としてそれだけ正確性が求められている。
当然、大量の札束を紛失したり、誤廃棄される事件は、そう簡単に発生するものではない。一方で、大量の顧客データの誤廃棄や紛失といった事故は、たびたび発生している。
金融機関においては、センシティブ情報(個人情報の中でも特に取扱に留意すべき情報)を扱うなど個人情報の取り扱いについては、他業種より慎重だ。また管理能力そのものも、かなり高いポテンシャルを持っているはずである。そのような金融機関でさえ、「個人情報」の扱いにいたっては「金銭」と天と地ほどの大きな隔たりがあり、事故に至っている。
「個人情報」を違う価値観で捉えてみる
もちろん、金銭と個人情報を同等に扱うという考え方は少々乱暴だと思うが、データを金銭と同じような感覚で扱うという見方から、漏えいや紛失といった事故に対する実効力がある対策が見えてくる。
たとえば、外部からの盗難への備えだったり、外部への持ち出し、業者への預託などだ。保存には金庫を利用するだろうし、委託業者を選定する際も、単に「コスト」だけを基準にせず、安全性を重視するだろう。従業員が持ち出す際もチェックするだろうし、従業員も慎重な取り扱いを行うはずだ。保険など事故発生時のリスクヘッジにも配慮するだろう。
個人情報漏えい事件では、ひとたび事件となれば、損害賠償や事故対策費用など大きな費用もかかる。企業の信用も失墜するし、場合によっては行政の指導も入るだろう。そう考えると、個人情報を金銭のように扱うことが単なる「極論」とも思えないのだが、いかがだろうか。
ニュースガイア
Security NEXTを運営するニュースガイアは、ニーズが高く密度の濃いセキュリティ関連の情報をピンポイントで配信することを目的に2006年に設立されたベンチャー企業。大手マスメディアで執筆経験があるライターや編集者が参加している。ベンチャー企業ならではのフットワークの良さ、ユニークな視点から独自の情報を配信。
|