減らない漏洩事件
個人情報保護法が完全施行されたが、漏洩事件はいっこうに減らないようだ。ノートパソコンの「紛失」もあいかわらず多いし(「紛失」と言っているのも本当に紛失したものばかりなのだろうか?)、全国各地で同じようなミスが続いている。
基本的に漏洩事件の原因はミスが多い。
日本ネットワークセキュリティ協会(JNSA)の調べによると、漏洩事件の原因の半分以上はミスである。ノートパソコンのようにどこでも使えるモノをどこででも使った挙げ句に、帰り道網棚に置き忘れたり、置き引きにあったりしてしまう、というわけだ。
その一方で、ノートパソコンに対して何らかのセキュリティ対策を新たに導入した、という企業は増えていないらしい。個人情報保護法施行後、どこまで対策が進んだのか、という出版社のアンケート調査によれば、あれほど多くの事件がノートパソコンに絡んで発生しているのに、特に対策していない企業は驚くほど多い。
これでは事件が減らないのも無理はない。
しかし、実際のところどうなのか見るために、これまで起きている情報漏洩事件の原因をざっと眺めてみると、やはり目に付くのはノートパソコンの管理ミスだ。
営業ツールとしても、自宅でやり残した仕事を片づけるときも、出張するときもノートパソコンは重宝する。それだけに安易に持ち出したりしがちになり、そこで紛失や置き引きという結果になってしまうことも多い。
漏洩対策の整理
ではどのようにノートパソコンのセキュリティ対策、漏洩対策について検討、導入すればいいのだろうか?
まずはたくさんありすぎてどれから手を付けたらいいかわからない情報セキュリティ対策、漏洩対策について、整理してみることから始めてみよう。本稿では、漏洩対策を「予防策」と「事後対策」の大きく二つに分類してみることにしよう。
「予防策」とは文字通り、漏洩をさせないことを目的とする対策である。情報の取り扱いルールを決めたり、いわゆる「漏洩防止」目的と言われるソフトウエア、例えば利用者の利用記録を細かく残すソフトウエアや、利用者のパソコンの機能を制限するようなソフトウエアを導入したりすることが予防策である。
一方、「事後対策」は漏洩してしまった後の対策である。例えば個人情報のファイルを暗号化しておき、ノートパソコンごと紛失したとしても解読されないようにしておく、などというものがそれにあたる。広い意味で言えば、漏洩した後に監督官庁にどのような報告を行うか、お客様にどうお知らせするか、メディア対策はどうするのか、といったあたりも「事後対策」に含まれるだろうか。
理想的には「予防」と「事後」の両方で対策をしておきたい。なぜなら「予防」は行ったとしても完璧ではありえないし、といって大事な情報だからといって誰にも見せずに業務はできないからだ。
とはいえ、どちらかといえば「予防」をどうやって行うか、ということをまず考えるべきだろう。なぜなら、予防策をいくつか講じることで、「事後」対策が必要になる可能性を下げることができるからだ。これに対してただ単に記録を取っておいて、文字通り事件が起きた後で記録を解析して原因(犯人)を特定する、というような事後対策では、心理的抑止効果を期待できたとしても可能性自体を下げることは出来ない。
まずは「事故」「事件」発生の可能性を下げることから検討していくべきであろう。
