中堅中小企業のセキュリティ対策実践ガイド

ITコーディネータ 公認システム監査人 合資会社パンカル 代表 竹内 肇氏

　ITへの依存度を高め、文明の利器の恩恵を最大限に享受しようとする一方で、法整備や安全面での対応が追いつかず、個人情報や企業情報の漏えい事故、ネット犯罪、情報システムへの不正アクセスや攻撃、コンピューターウイルスの感染などによる情報システムの停止、さらには、天災・人災による情報システム停止に伴う社会機能麻痺への不安など、様々な脅威に晒されることになってしまった。

　私達は今、情報化社会の中で生き抜くために、それら様々な脅威から身をかわす術を身に付けなければならず、情報セキュリティを意識せずにはいられない環境に置かれている。

　特に、「個人情報保護法」の施行以来、個人情報流出・漏えい事件が頻繁に報じられるようになり、情報セキュリティへの関心はますます高まる一方である。政府も国家レベルでセキュリティ強化に乗り出し「セキュアジャパン構想」を掲げている。

　総務省による“企業における情報通信ネットワーク利用上の問題点”を尋ねた調査では、セキュリティ関連の回答が上位を占めており、情報セキュリティの必要性についての認識が高まっていることを伺い知ることができる。とは言え、対策には手が及んでいない状況のようだ。（図1）

図1：情報通信ネットワーク利用上の問題点（企業）（複数回答）

　この春、保険会社や信販会社などが業務委託している会社より、過去最大規模とみられる863万件もの個人情報が漏えいしたという事件は記憶にも新しい。

　容疑者は、５年間同社に勤務していた元派遣社員で、勤務期間中の犯行だったらしい。いわゆる内部犯行である。

　筆者の元にも、この事件に関する謝罪と報告の書面が届いたのだが、863万人となれば、その郵送料だけでも億単位の額となっただろう。

　NPO 日本ネットワークセキュリティ協会が、2005年１年間に新聞やインターネットニュース上に公開された個人情報漏えい事件1,032 件を対象とした分析結果によると、“漏えい原因別１件当たりの平均被害者数”において「内部犯行・内部不正行為」が突出して多いのが目に付く。（図2）

図2：漏えい原因別の平均被害者数の割合

　過去に報道などで大きく取り上げられた大量個人情報漏えい事件の多くも「内部犯行・内部不正行為」に分類され、一度発生するとその影響は甚大であることが良く分かる。

　情報セキュリティ対策において、内部犯行防止策は極めて重要な課題であることをよく認識していただきたい。