ブログご訪問ありがとうございます。

いまさら聞けない個人情報保護対策

最近特に増えているのがメール送信時の誤った操作による個人情報の添付ミスや誤送信です。人が行う作業なので間違いもあるのでしょうが、そもそも個人情報の数も数十件程度なので、「数件程度の漏洩でわざわざ報告する必要ってある？」と思われるかもしれません。
そんな疑問にお答えできるように、そもそもの個人情報保護対策って、漏洩時にどれだけのことをしなければならないのか？と言うお話をさせていただきます。

個人情報漏洩って何件くらいから対応しなければいけないのか？
報道を見ていると、どこどこの学校が数十件のメール誤送信をしたとか、ある自治体が数件の個人情報を紛失したとか、一見すると「その程度で・・」と思いかねないものを目にします。
人情としては、毎日忙しい中、ちょっとしたミスでこんなに取り沙汰しなくても…などと思わなくもないですが、しかし、実際のところその数件が大きな被害を生むことがこの情報社会ではあり得ますし、そもそも情報をプライバシーに位置づけた法律なので、かなりオーバーな表現をすると、何人殴ったら罪になるのか？という質問に近いと思った方が良いのかもしれません。

そういった視点で個人情報漏洩に関する報告義務自体も、件数は関係がありません。
個人情報保護法ガイドラインによると、外部に漏洩していないと判断されるか荷物の誤配やメールのいわゆる誤送信（CCにつけてしまったとか、添付で送ってしまったという意味の誤送信ではありません）のみが報告義務の対象外とされています。
もちろん荷物の誤送などについても影響を受ける可能性のある本人への連絡は行うに越したことはありません。

罰則規定は？
状況にもよりますが、「6ヶ月以下の懲役、または30万以下の罰金」の刑事罰が課せられます。また被害が想定される可能性のある本人がその事実を知り、民事訴訟を起こす場合も想定されるため、刑事罰・民事罰両方の視点でペナルティが考えられる可能性があります。何よりも会社自体が漏洩の事実を公表しなかったことで信用を失墜させる原因になりかねません。

対応
情報漏洩はある日突然発覚します。
例えば不正アクセスの発覚やサイト改ざんの確認のようなセキュリティ対策の中で見つかるものから、社内持ち出しからの紛失報告や、操作ミスによる漏洩などもあります。最悪のケースは漏洩対象者からの被害報告による発覚ですが、そうならないために事前に対応できる体制づくりが急務と言えます。

①漏洩の発覚
漏洩は様々な角度で起こります。
例えば不正アクセスやサイト改ざんなどの場合は、ログと言う利用者履歴が残されているケースも多いので、専門的に分析を行います。

サイト改ざんのケースでは、管理サイトなどにパスワード等を取得した状態で入られてファイルを書き換えるなどの改ざんが行われます。改ざんについてはサイト訪問者をターゲットに、閲覧時にサイト利用者の情報収集を目的としたアプリのインストールをさせたり、ランサムウェアを忍び込ませたりします。
漏洩発覚後もこれら放置しておくことは被害の撲滅にはならないため、専門部署でのサーバー内調査を行うことが、被害の拡大を防ぐことになります。

外部からの報告があった場合には、先方の情報をしっかり押さえ対象の情報がどこにあり、そうやって抜かれてしまったのかを調べる必要があります。

②報告
報告はまず社内に上げ、速やかに情報漏洩における対策を考えます。
遅きに失すると２次３次の被害の可能性が出てきます。
例えばウィルス感染が疑われる場合はネットワークの切り離しや情報自体の隔離も重要でしょうし、サイトの改ざんなどではまずはサイトの停止を行い原因を追究する必要があります。

③調査
適切な対応を探るべく情報に触れる方法から洗い出し、漏洩の事実関係や漏洩の証拠を探します。この場合は専門的なセキュリティチームの判断も必要になります。

また一度サーバーに侵入された場合は、バックドアと呼ばれる、クラッカーがいつでも侵入できるようにしておくものを忍ばせることがほとんどで、これらの除去をする必要があります。

④通知・公表
漏洩の対象者が分かるようであれば速やかに漏洩した情報の本人に対し通知をします。万が一その情報を活用し脅迫や金銭のだまし取りのような行為が疑われる場合は警察にも報告します。被害が広く一般にも影響があると判断される場合はホームページやマスコミなどに発表します。

⑤対策と実施
被害の拡大を防ぐための具体的な対策を行っていきます。サーバーからの漏洩の場合は、セキュリティ対策の実施を行い、被害の拡大を防ぎます。

⑥事後対応
セキュアーな環境構築や社員教育などリスクが発生しないための対策を実施し、体制を整えます。
また被害に対し、賠償等の対応を行います。

補足
個人情報漏洩では、どの情報がどれだけあったのかを知ることがとても重要です。
またその情報がどうやって持ち出されたのかを知ることも大変重要です。
パソコンの中の世界とは言え、きちんとしたセキュリティ対策を講じていれば、原因と対策は必ず見つけられるはずです。

例えば情報の紛失は、情報の持ち出しができることが問題だと考えます。
情報のほとんどがデータ化されているようであれば、フラッシュメモリや外部ストレージへのアクセスを禁止することで持ち出しを不可能にすることができます。
紙での管理の場合は完全には防げなくても、リストに持ち出し禁止の文言を入れ、且つ持ち出しができない物理的な状況を作るのも一つでしょう。

情報がどこにあり、どのような情報で、その情報がいつのもので、どれくらいの量があり、且つ保存がどのようになされたかという事が分かるようにしておくことが、セキュリティ対策としては大変重要なのです。

個人情報の漏洩はもちろん無いに越したことはありません。
しかし、情報漏洩については人が操作するものである以上、完全に無くすことは難しいと考えます。
情報が紛失した際に必ずそれが分かる（誰が、いつ、どこで。どの情報を、どれくらい、どのような手段でが分かる）ということが、逆に情報漏洩を防ぐための抑止力になるのです。