セキュリティの
学び場

今回の解説ニュース

従業員による顧客情報の不正持ち出しについて、行政指導が行われたということです。今回は、情報の持ち出しがされる原因や、その対策について説明します。今回のインシデントは、販売支援業務を委託している企業の元派遣社員が、業務に使用しているパソコンから個人契約する外部ストレージにアクセスし、約596万件の顧客情報を不正に持ち出したというものです。

原因として、企業側は基準不適合事項のリスクが存在する状況下で、追加的運用ルールが徹底されていなかったことが挙げられています。その上で、元派遣社員が業務上の必要性がないにもかかわらず、クラウドサービスに個人アカウントでログインし、個人データをアップロードしていたことが挙げられています。個人情報保護委員会は法律上の問題点として、個人データを取り扱う区域の管理、情報システムの使用に伴う漏えい等の防止、個人データの取扱いに係る規律に従った運用の不備、委託先における個人データの取扱状況の把握を挙げています。また、委託先に対しては取扱状況の把握及び安全管理措置の見直し、従業者の教育を挙げています。行政指導の内容として、個人情報保護法とガイドラインに基づき、必要かつ適切な措置を講ずることや再発防止策を確実に実施すること、再発防止策の実施状況について、関係資料を提出の上、報告することなどを求めています。

情報の持ち出しがされる原因

情報の持ち出しがされる原因として、PCの利用制限がなされていないことや、データの暗号化がなされていないことが挙げられます。まず、PCの利用制限がなされていないと、PC内に一時的にでも保存された情報が持ち出されてしまうことが考えられます。今回のインシデントでも、顧客情報を取り扱う専用PCでインターネット及びメールの利用が制限されていないことが挙げられています。

また、データ自体が暗号化されていれば、仮に情報が持ち出されたとしても、再利用することができないため、被害につながらないことが考えられます。今回のインシデントでは、顧客情報の暗号化が行われていない等の基準不適合事項のリスクが存在していたことが挙げられています。情報の持ち出しを完全に防ぐことは簡単ではありませんが、運用とセットで不正な持ち出しを低減することが期待できます。例えば、先ほど説明したシステムの対策がなされていたとしても、正しく運用されていなかったり、システムでは対応できない問題が発生したりすると、情報の持ち出しを防ぐことができません。今回のインシデントでも、定期的に自主点検を行うこと等の追加的運用ルールが徹底されていなかったことが挙げられています。

情報の持ち出しを防ぐために

情報の持ち出しを防ぐためには、そのリスクについても正しく伝える必要があります。情報を持ち出す理由として、金銭目的だけでなく、不満や恨みなどの私的な目的、意図的ではない無意識なミスなどが挙げられます。いずれの場合も、それらの目的が達成されたとしても、情報を持ち出すことのリスクは見合うものではありません。具体的には、刑事罰となる法的リスクや損害賠償を請求されるリスク、社会的信用の喪失などが挙げられます。それらのリスクから従業員を守るためにも、情報セキュリティに関する教育を行い、情報の持ち出しに伴うリスクを理解させることが求められます。