コラム提供:(株)フォーバル
企業にとって、お客様の氏名や住所、電話番号などの個人情報(顧客情報)は、ダイレクトメールを送ったり、テレホンセールスなどのビジネスを行う上で、今ではなくてはならない存在となりました。 この個人情報は、2005年4月1日から本格施行された「個人情報保護法」によって、十分なセキュリティー対策の元に厳重に管理することが事業者に課せられました。 この法律ができる前は、個人情報(顧客情報)は、貴重なビジネスツールとして高額な金額で取引されておりました。
法律が施行される前、個人情報の漏洩は、主に外部の人間がネットワークに不正侵入することによってもたらされると考えられておりました。 その対策として、ファイアウォールを導入したり、指紋や静脈などの生体認証技術でネットワークへのアクセス者を個人認証するなど管理されるようになったのです。 しかしいざ法律が施行され、個人情報漏洩事件・事故が全国から報告されるようになると、漏洩理由は外部犯罪がメインではなく、内部犯罪やうっかりミスが大きな原因であることが徐々に分かってきたのです。
個人情報保護法では、過去6ヶ月の間、1日でも5,000件以上の個人情報を保有していた事業者は全て法律の対象となっています。 事業者とは法人・個人の区別はありません。個人事業主やNPO団体、学校法人も対象となっています。5,000件以上の個人情報を保有していたが使用していなかったというのは言い訳にはなりません。 従業員の個人情報もカウント数に入りますので、国内にあるほぼ全ての事業者は、この法律の取り締まりの対象となります!
内部犯罪については当初、アクセス権の無い末端社員がシステム管理者のIDとパスワードを盗み出し、不正にデータベースにアクセスし個人情報を漏洩しているのではないかと考えられていました。 しかし実態はもっと深刻なものだったのです。 内部犯罪の実態は、会社から正当に評価され信頼されている情報システム管理者自らが個人情報を漏洩させているという事実が分かってきたのです。
情報システムの管理者は、データベースへの正当なアクセス権を有している他に、データベースへアクセスした履歴を消去する権限も持っていることから、システム管理者が情報漏洩に手を染めている場合、事件の発覚は、お客様からの苦情・問い合わせからでないと発見することは難しいのが実態となっているのです。
例えば、銀行員がお客さんの預金を勝手に引き出して、私的に利用してしまったという事件が今でも時たまお茶の間をにぎわせますが、この事件についても、預金者からの苦情や問い合わせによって、初めて事件が発覚します。 この事件の場合、銀行員はお客さんの預金口座から現金を引き出す権限を持っています。 「お客さんから預金を引き出すように電話で頼まれ、自宅までお持ちしました」と上司に報告すれば、長期間、事件が発覚する恐れはないのです。
個人情報漏洩事件で最近多いのが、個人情報(顧客情報)が記録されているノートパソコンを家に持ち帰る途中に、電車の中や飲み屋でパソコンを紛失してしまったり、車の中や家の中で盗難に遭うというケースです。 会社の規定では、会社所有のパソコンを社外に持ち出すことを禁じているケースが多いと思います。 また個人のパソコンを業務に使用することを禁じている会社もあると思います。 しかし、人件費削減が長引く中、社員一人一人に課せられる仕事量が倍増しており、週末、自宅において仕事の続きを行わなければならないという実情が、個人情報漏洩事件を招いてしまっているようです。
また、電子メールやFAXで個人情報を送信する際に、相手先アドレスを間違えて送信し、うっかり個人情報が漏洩してしまったという事故も多くあります。 個人情報保護法では、上記のようなうっかりミスや盗難被害についても、事業者における個人情報の管理責任を厳しく追及する姿勢を示しています。 こうした状況から、前述したようなファイアウォールや個人認証といったITセキュリティー対策ももちろんですが、まずは個人情報の取り扱いについて社員に教育・研修を実施することが必要であると考えます。
無料で音楽ファイルをダウンロードできる「Winny」というファイル共有ソフトが若者の間で人気となっています。 そもそも音楽ファイルには著作権がありますので有料で購入しなければならないものですが、Winnyを利用すると音楽ファイルをいくらでも無料で入手することができてしまうのです。 Winnyソフトを作った開発者は既に逮捕されておりますが、Winnyの利用者は今も大勢います。 実はこのWinnyソフトには、コンピュータウイルスが仕組まれているものもあります。 このウイルスに感染した「Winny」を利用すると、一見、無事に音楽ファイルをダウンロードしたように見えるのですが、その裏で、自分のパソコンの中に入っているファイルを無作為にインターネット上へ放出してしまうという悪さをしでかすのです。 顧客情報はもちろんのこと、原子力発電所の設計図や病院の患者情報なども漏洩してしまい、社会的に大きな問題になったこともあります。 仕事で利用しているパソコンでは、絶対に「Winny」を利用しないようにしましょう!
法律が施行される前、個人情報の漏洩は、主に外部の人間がネットワークに不正侵入することによってもたらされると考えられておりました。
内部犯罪については当初、アクセス権の無い末端社員がシステム管理者のIDとパスワードを盗み出し、不正にデータベースにアクセスし個人情報を漏洩しているのではないかと考えられていました。
情報システムの管理者は、データベースへの正当なアクセス権を有している他に、データベースへアクセスした履歴を消去する権限も持っていることから、システム管理者が情報漏洩に手を染めている場合、事件の発覚は、お客様からの苦情・問い合わせからでないと発見することは難しいのが実態となっているのです。
例えば、銀行員がお客さんの預金を勝手に引き出して、私的に利用してしまったという事件が今でも時たまお茶の間をにぎわせますが、この事件についても、預金者からの苦情や問い合わせによって、初めて事件が発覚します。 
