個人情報漏洩事故の当事者は社内の人間であることが少なくありません。中小企業はセキュリティ性善説で管理できても、大企業では性悪説の観点からルールを作らなければなりません。
情報は社内から漏れる
「ファイル交換ソフト(P2P)による個人情報漏洩事件一覧」をご覧になれば分かるように、こうした事件の漏洩元は社内の人間です。
また、「PCや名簿の盗難や紛失に注意する」で紹介したように、個人情報漏洩原因の上位は、「紛失・置き忘れ」「盗難」「誤操作」といったもので、いずれも社内の人間に問題があります。「盗難」で多いのが車上荒らしや、電車、飲食店など人の大勢いる場所で盗まれるケースですので、本人の不注意としかいいようがありません。
また、「PCや名簿の盗難や紛失に注意する」で紹介したように、個人情報漏洩原因の上位は、「紛失・置き忘れ」「盗難」「誤操作」といったもので、いずれも社内の人間に問題があります。「盗難」で多いのが車上荒らしや、電車、飲食店など人の大勢いる場所で盗まれるケースですので、本人の不注意としかいいようがありません。
公益通報制度
解雇者によるサイバー犯罪が増加
2010年(平成22年)9月、ベライゾンジャパンは、2009年(平成21年)の1年間に発生したデータ侵害事件に関する説明会を開催し、解雇者によるサイバー犯罪が増加していると述べました。
米Verizon Businessの調査レポート「2010年(平成22年)データ漏洩/侵害調査報告書【PDF】」によると、2009年(平成21年)に発生したデータ侵害事件のうち、外部の第三者による犯行は62%、自社の従業員による内部犯行は46%、パートナー企業経由のデータ漏えいが10%を占めました。そして、内部犯行の半数は解雇された従業員による犯行だということです。
また、解雇者が犯行におよんだ事例の多くで、解雇者の社内ネットワークへのアクセスが退職後即シャットダウンされていなかったことも明らかになりました。ベライゾンは、部外者の社内へのアクセスを禁止する基本的なセキュリティポリシーが厳守されていれば、内部犯行の50%は回避できただろうと指摘しています。
米Verizon Businessの調査レポート「2010年(平成22年)データ漏洩/侵害調査報告書【PDF】」によると、2009年(平成21年)に発生したデータ侵害事件のうち、外部の第三者による犯行は62%、自社の従業員による内部犯行は46%、パートナー企業経由のデータ漏えいが10%を占めました。そして、内部犯行の半数は解雇された従業員による犯行だということです。
また、解雇者が犯行におよんだ事例の多くで、解雇者の社内ネットワークへのアクセスが退職後即シャットダウンされていなかったことも明らかになりました。ベライゾンは、部外者の社内へのアクセスを禁止する基本的なセキュリティポリシーが厳守されていれば、内部犯行の50%は回避できただろうと指摘しています。
不正利益と賠償責任
内部犯行による個人情報流出事件は、実は頻繁に起きています。
個人情報漏洩事件に対して初めて賠償金を支払うことになった1998年(平成10年)4月の宇治市の事件も、システム開発を委託された企業のアルバイト男性が、住民基本台帳データをコピーして名簿業者に売却したというものでした。このときは、約21万人分の個人情報が「宇治市住民票」としてネット上で売買される事態になりました。
2003年(平成15年)には、全国の公立高校で卒業生らの大学合否情報などを含む個人情報を、無断で予備校に提供し、学校側が謝礼金を受け取っていたという事実が明らかになりました。
文部科学省の調査によれば、調査対象3,131校中933校が謝礼を受け取っていたことが分かりました。
米国のセキュリティ企業Symantecが発表した2007年(平成19年)の調査報告によれば、銀行口座情報やクレジットカード番号、生年月日や社会保障番号などを含む盗難個人情報の取引価格は1件あたり14~18ドルだったといいます。日本円にして1500~2000円というところでしょうか。
一方、「個人情報漏洩と損害賠償」で示した想定損害賠償額シミュレータによれば、こうした個人情報漏洩に対する損害賠償額は1件あたり1万8千円~7万2千円に達します。
冒頭の三菱UFJ証券の事件では、不正取得した個人情報を名簿業者3社に32万8000円で売却したといいますから、1件あたり6円にしかなりません。クレジットカード番号などが含まれていないので安かったのでしょう。
2009年(平成21年)5月19日、三菱UFJ証券は被害者全員に1人あたり一律1万円の慰謝料を商品券で支払う方針を決めました。総額で5億円の賠償額になるとのこと。
こうした不正な個人情報取引は、あまりにも割に合わない犯罪です。
個人情報漏洩事件に対して初めて賠償金を支払うことになった1998年(平成10年)4月の宇治市の事件も、システム開発を委託された企業のアルバイト男性が、住民基本台帳データをコピーして名簿業者に売却したというものでした。このときは、約21万人分の個人情報が「宇治市住民票」としてネット上で売買される事態になりました。
2003年(平成15年)には、全国の公立高校で卒業生らの大学合否情報などを含む個人情報を、無断で予備校に提供し、学校側が謝礼金を受け取っていたという事実が明らかになりました。
文部科学省の調査によれば、調査対象3,131校中933校が謝礼を受け取っていたことが分かりました。
米国のセキュリティ企業Symantecが発表した2007年(平成19年)の調査報告によれば、銀行口座情報やクレジットカード番号、生年月日や社会保障番号などを含む盗難個人情報の取引価格は1件あたり14~18ドルだったといいます。日本円にして1500~2000円というところでしょうか。
一方、「個人情報漏洩と損害賠償」で示した想定損害賠償額シミュレータによれば、こうした個人情報漏洩に対する損害賠償額は1件あたり1万8千円~7万2千円に達します。
冒頭の三菱UFJ証券の事件では、不正取得した個人情報を名簿業者3社に32万8000円で売却したといいますから、1件あたり6円にしかなりません。クレジットカード番号などが含まれていないので安かったのでしょう。
2009年(平成21年)5月19日、三菱UFJ証券は被害者全員に1人あたり一律1万円の慰謝料を商品券で支払う方針を決めました。総額で5億円の賠償額になるとのこと。
こうした不正な個人情報取引は、あまりにも割に合わない犯罪です。
大企業では性悪説を
ところが、個人情報保護法に基づく責任は企業が負わなければなりません。まず企業が賠償責任を負うことになるので、企業としては内部犯行が起きないように細心の注意を払わざるを得ません。
高本勉さん (キヤノンシステムソリューションズ株式会社セキュリティソリューション事業部専任部長)は「中小企業ではまず性善説セキュリティ対策を」と言います。しかし、「従業員数が増えて全員の顔が見えなくなるとき」がきたら、「教育と共に性悪説セキュリティ対策も必要」になると付け加えています。
社員数が少ない企業と多い企業で漏洩事故リスクが同じかというと、そんなことはありません。
社長の目が行き届く程度の規模の会社であれば、社員は、自身の行動に細心の注意を払う者です。ところが、社員数が増えると、社員は組織に依存し、自制心が少しずつ緩んでいくものです。
このため、大企業になればなるほど、性悪説に立脚し、社内ルールを増やさざるを得ません。
高本勉さん (キヤノンシステムソリューションズ株式会社セキュリティソリューション事業部専任部長)は「中小企業ではまず性善説セキュリティ対策を」と言います。しかし、「従業員数が増えて全員の顔が見えなくなるとき」がきたら、「教育と共に性悪説セキュリティ対策も必要」になると付け加えています。
社員数が少ない企業と多い企業で漏洩事故リスクが同じかというと、そんなことはありません。
社長の目が行き届く程度の規模の会社であれば、社員は、自身の行動に細心の注意を払う者です。ところが、社員数が増えると、社員は組織に依存し、自制心が少しずつ緩んでいくものです。
このため、大企業になればなるほど、性悪説に立脚し、社内ルールを増やさざるを得ません。
ルールを絞らないと守られない
けれども、セキュリティ・ルールが10も20もあったら、社員が覚えきれるものではありません。
ルールは作ればいいというものではありません。それが実践され、不都合があれば改善していかなければなりません。
覚えきれないルールを守れと言うのは、ナンセンスな話です。本当に守るべきルールは、せいぜい5項目程度に絞るべきです。
ルールは作ればいいというものではありません。それが実践され、不都合があれば改善していかなければなりません。
覚えきれないルールを守れと言うのは、ナンセンスな話です。本当に守るべきルールは、せいぜい5項目程度に絞るべきです。
社員監視システム
社員のモラルやスキルが低いのでルールが守れないのだ。システムでセキュリティを守ればいい――こう考える経営者もいます。こうした経営者のために、監視カメラやパソコンの活動監視システム、果てはメールの検閲システムまで、様々なシステムが市販されています。
しかし、こうしたシステムはセキュリティ対策だけではなく、他の用途にも流用ができます。
たとえばパソコンの稼働時間を元に社員の勤怠管理や能力評価を行ったり、メールを監視することによって社内外の人脈を把握することができてしまいます。まさに「社員監視」社会(週刊ダイヤモンド2009年(平成21年)1月10日号)です。
こうなってくると、社員のプライバシーは無いも同然です。
つまり、個人情報を守ろうとして導入した仕組みが、逆に、社員のプライバシーを奪うという皮肉な結果になりかねません。
しかし、こうしたシステムはセキュリティ対策だけではなく、他の用途にも流用ができます。
たとえばパソコンの稼働時間を元に社員の勤怠管理や能力評価を行ったり、メールを監視することによって社内外の人脈を把握することができてしまいます。まさに「社員監視」社会(週刊ダイヤモンド2009年(平成21年)1月10日号)です。
こうなってくると、社員のプライバシーは無いも同然です。
つまり、個人情報を守ろうとして導入した仕組みが、逆に、社員のプライバシーを奪うという皮肉な結果になりかねません。
ルール作成上のポイント
犯罪を起こすのが“ヒトの心”によるものである以上、ルールによる管理を行うべきです。監視システムを導入するにしても、それは最小限にすべきです。
ルールを守るのは社員ですが、一口に社員といっても様々な職種・性別・年齢の方がいます。正社員だけでなく、派遣社員やパート/アルバイト社員もいるでしょう。
ルール作成上のポイントは、その内容より、どの社員をターゲットにしているかということです。
正社員だけが守ればいいのか、パート/アルバイトまで含めた全社員に守らせるのか。退職社員はどうするのか。男性でも女性でも守れるルールになっているか――こういった観点からチェックしながらルールを作っていかないと、作っただけで守られないルールになってしまいます。
ルール案を作成したら、社員に配布し、意見を聞くというのもいいでしょう。
この時、おざなりなアンケートにしないで、各部署の上長が直接社員からヒアリングするくらいの手間をかけるべきです。こうすることで、各部署の上長に会社の方針を伝えるという効果も生まれます。
次の章では、こうしたルールの基盤になる「プライバシーポリシー」の作り方について説明します。
ルールを守るのは社員ですが、一口に社員といっても様々な職種・性別・年齢の方がいます。正社員だけでなく、派遣社員やパート/アルバイト社員もいるでしょう。
ルール作成上のポイントは、その内容より、どの社員をターゲットにしているかということです。
正社員だけが守ればいいのか、パート/アルバイトまで含めた全社員に守らせるのか。退職社員はどうするのか。男性でも女性でも守れるルールになっているか――こういった観点からチェックしながらルールを作っていかないと、作っただけで守られないルールになってしまいます。
ルール案を作成したら、社員に配布し、意見を聞くというのもいいでしょう。
この時、おざなりなアンケートにしないで、各部署の上長が直接社員からヒアリングするくらいの手間をかけるべきです。こうすることで、各部署の上長に会社の方針を伝えるという効果も生まれます。
次の章では、こうしたルールの基盤になる「プライバシーポリシー」の作り方について説明します。
参考書籍
リスクマネジメントとしての内部通報制度 | |||
著者 | 田島正広/田島総合法律事務所 | ||
出版社 | 税務経理協会 | ||
サイズ | 単行本 | ||
発売日 | 2015年01月 | ||
価格 | 2,640円(税込) | ||
ISBN | 9784419061692 | ||
あなたの会社の内部通報制度は本当に機能しているといえますか?実効性のある内部通報制度の確立のために、経営者・通報窓口担当者が知りたい実務におけるノウハウをQ&A形式でわかりやすくまとめた初めての解説本。 | |||
情報処理教科書 情報セキュリティスペシャリスト 2015年版 | |||
著者 | 上原孝之 | ||
出版社 | 翔泳社 | ||
サイズ | 単行本 | ||
発売日 | 2014年09月 | ||
価格 | 3,168円(税込) | ||
ISBN | 9784798138503 | ||
社員監視時代 | |||
著者 | 小林雅一 | ||
出版社 | 光文社 | ||
サイズ | 単行本 | ||
発売日 | 2005年06月30日頃 | ||
価格 | 1,047円(税込) | ||
ISBN | 9784334933609 | ||
あなたがオフィスのパソコンから何気なく送ったメールは、すべて会社側に記録されている。デートや合コンのお誘いはもちろん、取引先との飲み会のセッティングさえ、常に監視されているのだ。言うまでもなく、それはあなたの人事査定に大きく反映するだろう。もちろん監視されているのは、メールだけではない。あなたがどのようなサイトを何時何分からどれだけの時間閲覧したか、また、どのようなソフトを何分間使ったかさえ、把握されている。つまりあなたの勤務状況は、完全に丸裸にされているのだ。当然、社員は息苦しくなり、かえって仕事の能率が落ちることさえ予測されるが、もうこの流れは止まらない。なぜなら、1度覚えた「管理」の味を、上層部が手放すことなどあり得ないからだ。「IT革命」は、こうして日本を究極の管理社会に導いていく。 | |||
参考サイト
- 個人情報漏洩と損害賠償:ぱふぅ家のホームページ
- PCや名簿の盗難や紛失に注意する:ぱふぅ家のホームページ
- セキュリティ診断チェックリスト:ぱふぅ家のホームページ
- 紛失・盗難による個人情報流出事件一覧 :ぱふぅ家のホームページ
- ファイル交換ソフト(P2P)による個人情報漏洩事件一覧:ぱふぅ家のホームページ
- 解雇者によるサイバー犯罪が増加:ITpro, 2010年9月17日
- 盗まれた個人情報の価格は14ドル:ITmedia
- 「社内の人間は安全だ」という神話:ITmedia エンタープライズ
- 公益通報者の保護:厚生労働省
- 公益通報者保護制度:消費者庁
(この項おわり)
問題の社員はシステムを管理する立場にある部長であり、持ち出した情報は同社の全顧客に当たる148万6651名分。そのうち4万9159名分を名簿業者に売却しました。流出した個人情報には年収区分なども含まれ、不動産業者や投資会社から勧誘の電話がかかってくるという被害が発生しました。