◆個人情報の漏洩について
個人情報保護法の精神が風化しているようです
久しぶりの投稿となります。
世の中は大きく変わろうとしています。
既存の技術基盤が大きく変わろうとしています。
ところで、今回は、「個人情報の漏洩」の問題を
採り上げました。
◆はじめに
セキュリティーネクストというサイトをご存知ですか
http://www.security-next.com/
このサイトは、情報漏えい等に関してのニュースを掲載している
サイトですが、久しぶりにこのサイトを覗いて見ました。
相変わらす、情報漏えい事件が続発しているようです。
毎日のように情報漏えい事件のニュースがリストアップされています。
この中から、最近の記事をピックアップしてみました。
【事例1】
三菱UFJ証券の元従業員が、約148万件の個人情報を不正に持ち出し、
一部が名簿業者へ売却されていたことがわかった。
名簿はすでに転売されており、三菱UFJ証券では
流出先の特定やリストの回収を急いでいる。
不正に持ち出したのは同社システム部の元従業員で、
自宅に持ち帰った顧客情報148万6651人分のうち、
2008年10月から2009年1月までに同社で新規口座や
投信ラップ口座を開設した顧客情報4万9159人分を名簿業者へ売却していた。
流出した個人情報には、氏名や住所、電話番号、性別、
職業、年収のほか、勤務先の住所や電話番号、部署、役職などが含まれる。
◆この種の事件は、システム関連の人間が起こす内部不正事件です。
不況になってくると起こりやすい環境になってきます。
ギャンブルや株式投資等で損失を負ってしまい、
借金返済のために身近にある顧客情報ファイルを持ち出し、
名簿業者に販売し現金を手に入れようとする者が現れるのです。
システム部門やシステム開発会社の派遣社員は
システム開発・運用のために「顧客情報ファイル」へのアクセス方法を
熟知しているために、アクセスの盲点を狙ってこのファイルを外部に持ち出し
転売するという事件が数多く報告されています。
システム部門の内部統制ルールの確立と内部監視体制の厳正化が
不可欠なことは言うまでもありませんが、システムの開発の効率化と
生産性の向上施策とのバランスの問題があり、企業経営上も悩ましい問題です。
しかし、このような事件が発生すると企業への信頼度が
急激に失墜することになるので、内部統制ルールの見直しと
運用の厳正化を再度徹底する必要があります。
【事例2】
総務省は、情報流通行政局地上放送課において会合参加者など
関係者へメール送信を行った際、メールアドレスが流出したと発表した。
4月10日19時半ごろ、総務省地上デジタル放送国民運動推進本部の
「デジタル・サポート推進部会」における構成員候補者や事務担当者に
対してメールを送信したが、操作ミスにより本来確認できない
他受信者のメールアドレス20人分が閲覧できる状態になったという。
◆この事例も昔からある事例です。
われわれ自身もメールを発信する時に気をつけなければならない事項のひとつです。
メールを複数のあて先に送信するときに、メーリングリストを
メールのあて先のBCC:欄とCC:欄を間違えて挿入してしまうミスです。
本来は、BCC:欄に挿入すべきをCC:欄に挿入してしまうと、
送信先の全員の受信メールから送信先全員のメールアドレスが
公開されてしまうということになります。
メールを受信した者のなかで、悪意のある人物が含まれていた場合、
このメールで知り得たメールアドレスを利用して不正を働くと
危険性が生じるということです。
具体的には、このメールアドレスが転売され、
このメールアドレス先に広告宣伝等の迷惑メールを送信されたり、
更に、悪質なのはこのメールアドレスを悪質アダルトサイトに転売され、
このアダルトサイトが架空請求のメールを送りつけて
架空の利用料金を請求するという事件に発展するという事例もあります。
メールを発信する時についうっかり間違ってしまうことがあり得ます。
特に、不特定の会員にメール送信する場合には注意が必要です。
日常の慣れからくるミスや新人によるミスが多いようです。
メール送信の基礎の基礎を再確認する必要があるようです。
【事例3】
日本生命保険、第一生命保険、全国共済農業協同組合連合会(JA共済連)は、
徳島県の元嘱託医により保管されていた顧客情報が、廃棄処分される課程で
所在不明になったことを明らかにした。
紛失したのは、生命保険や共済へ加入を希望した顧客の健康状態について
記載した書類。
日本生命の顧客250人分や第一生命の顧客373人分、
JA共済連の顧客110人分などあわせて733件で、
氏名、生年月日、職業、医学的情報など個人情報が記載されていた。
元嘱託医はすでに亡くなっており、業者が日用品などの処分を請け負ったが、
3月27日に処分場へ輸送する際、石井町の路上で一部書類を落とした。
◆この事例は、ドキュメントの廃棄処分過程で起こりうる事件です。
廃棄処分業者が運搬の途中で走行中に積荷を落下させ書類を路上に
ばら撒いてしまうと言う事例が時々発生しています。
ドキュメントの廃棄処分に際しては、信用のおける業者を選定すると
同時に処理プロセスに関しても十分な管理を徹底する必要があります。
◆【まとめ】
個人情報保護法が平成15年に施行され、
企業内で扱う「個人情報」の取り扱いに関しては、
厳重な管理体制と教育体制が整っていると思っていたのですが、
現実は上記の事例を見る限りにおいては、そうでもなさそうです。
個人情報保護法が施行される前後では、
個人情報の取り扱いに関してのレール作り、
管理体制、教育体制等も整備の努力がなされたに違いありません。
しかしながら、施行後数年経ってしまった現在では、
このときの体制が風化し、体制に弛みが生じているように思われます。
セキュリティー対策は、いつの時代でも、
どのような経営環境の下でも企業経営に必須のものです。
セキュリティー対策を疎かにしたために、
経営の命取りに結びつく可能性が大ということを
肝に命じる必要があります。
現在のような、先行きの見えない不透明な経営環境のときこそ
再度セキュリティー対策の見直しが必要です。
| 固定リンク
「情報セキュリティー」カテゴリの記事
- ◆ガンブラーウィルスにご注意を(2010.02.17)
- ◆続 トロイの木馬(2010.01.23)
- ◆トロイの木馬の被害事例に関して(2010.01.09)
- ◆続発する個人情報漏洩事件(2009.08.18)
- ◆三菱UFJ証券の顧客情報漏洩事件から学ぶべきこと(2009.07.16)
コメント