ある外資系クレジットカード会社から、筆者宛てに一通の通知が届いた。そこには、こう書かれていた。「誠に遺憾ながら、このたび、あなた様を含む弊社の92,408人分の顧客情報が不正に取得され第三者に売却された可能性が高いことが判明いたしました(中略)。不正に売却された情報には、クレジットカード番号のほか、名前、住所、電話番号、生年月日、性別などが含まれております(以下略)」。
2年前に解約したカードなので実害はないはすだったが、セキュリティ管理への関心からコールセンターに経緯や解約後のデータ保管などを問い合わせてみた。後日、担当部署から丁寧な回答があった。情報漏洩は、ある顧客からの「そのカード会社にしか明かしていない電話番号に、他社から営業行為の電話があった」との問い合わせから発覚した。原因は、業務委託会社の社員が不正に持ち出して名簿業者に売却したことだという。
暗証番号や3桁(あるいは4桁)のセキュリティコード、有効期限などは別管理なので、解約済みの筆者はもちろん、現行のカード所有者にも実害はないようだ。しかし漏れた情報を使って詐欺行為をやろうとする悪意は消せない。ちなみに解約済みの筆者のカード情報を保持していたのは、貸金業法19条(帳簿の備付け)における「少なくとも10年間保存」に由来するとのことだった。
法律の未整備など脆弱な日本
2011年8月にはこのカード会社以外にも、国内の大手クレジット会社や外資系生命保険会社、外資系損保会社など、少なくとも5社から18万件以上の個人情報が漏洩した。情報漏洩の多くは内部や業務を委託する業者、つまり関係者から起きている。
一方、9月には大手重工メーカーがサイバー攻撃を受け、11拠点の40台のサーバーと従業員38名のパソコンがトロイの木馬を含むウィルスに感染。防衛や原発関連などの内部情報を盗まれた可能性があることが発覚した。標的型メールを使った、特定企業を狙い撃ちする攻撃が原因とされる。保険・金融や国家機密情報に関わる国防産業など、厳格な情報管理をしているはずの業界で、このような実態がある。
情報セキュリティに関連する法律は、我が国には複数ある。しかし中心である不正アクセス禁止法は、サイバーテロに対する危機管理には不十分。個人情報保護法も条文で言うほど実対策が容易ではなく、牽制する監査の仕組みもない。なにしろ企業の個人情報保護体制を認定するプライバシーマーク(Pマーク)は、認定済みの企業が情報漏洩を起こしても、認定を取り消した例がない。情報セキュリティにおける危機管理意識が極めて脆弱な体制であると言わざるを得ない。
官民で脆弱性に立ち向かう
政府が2009年2月に定めた「第2次情報セキュリティ基本計画」には、「事故前提社会への対応」という文言が入っている。無謬性を追求し、事前対策に重点を置いた第1次計画に対し、事故は起きることを前提に一貫した情報セキュリティ管理の姿勢を示したものであり、より現実的になった。
しかし国防の観点からのサイバーテロ対策が依然不十分であるのに加え、過度な個人情報の統制によって本来の利活用を進めにくくなる矛盾も抱えている。官民を問わず国の情報を守るという強いメッセージを、利活用を前提に法律に埋め込む必要があるゆえんだ。
それを待つわけにはいかない企業は、どう対処すればいいのか?まず基本的な対策は標準装備でなければならない。ウィルスやマルウェア対策、ネットワークやサーバー監視、機密性に応じたデータ管理や暗号化などである。だが完璧性はないので、バランスを考慮しないと無駄な投資になる。
国産技術でマジックペーパーという面白いセキュリティ製品がある。閲覧や用途の済んだ文書ファイルを「スパイ大作戦」の指令テープのように自動消滅させるものだ。情報を共有しなければ作業が進まない建設業でも、セキュアに図面や仕様書を管理できる。情報漏洩の多くが組織内や関連企業から発生していることを考えると、このような製品を使いつつセキュリティ教育や高機密情報アクセスに対する監視が欠かせない。セキュリティ監査も重要だろう。TwitterやFacebookやブログなど、ソーシャルメディアが公私の境なく使われる時代では、個々人がリスク認識を高めて情報漏洩への注意を怠らないことだ。
- 木内 里美
- 大成ロテック監査役。1969年に大成建設に入社。土木設計部門で港湾などの設計に携わった後、2001年に情報企画部長に就任。以来、大成建設の情報化を率いてきた。講演や行政機関の委員を多数こなすなど、CIOとして情報発信・啓蒙活動に取り組む
- DXを推進するなら「情報システム部門」を根底から見直せ!(2024/10/30)
- 「建設DX」の実態と、厳しさを増す持続可能性(2024/10/02)
- 過剰なハラスメント意識が招く日本の萎縮(2024/08/27)
- 日本の死生観の変化がもたらす将来(2024/08/07)
- 銀行窓口業務の効率化、なぜ今もできない?(2024/06/24)