2005年4月1日から個人情報保護法が民間企業にも適用されて全面的に施行されたが、逆に個人情報の漏えい・流出は増える一方だ。この3カ月間で報道された事件は120件を超え、特に大手銀行・地方銀行などは87金融機関が350万人分もの個人情報を紛失するほどのずさんさである。同法は5000件以上のデータベースを持つ個人情報取扱事業者が対象となり、悪質な場合は刑事罰も科せられるが、企業側の個人情報に対する意識はまだ低い。
6月には約4000万件ものクレジットカード情報が危険にさらされた米カード情報流出事件があり、日本にもジワジワと影響が広がっている。いまや個人情報は世界を駆けめぐり、どこで漏えいするか誰も分からない。企業としては社員の意識の向上や取扱の日常的な訓練、およびITなどの技術によるセキュリティ対策を行った上で、漏えい事件が起きた後の事後対策を策定しておく必要がある。本特集の最後では、その6ステップを整理した。被害を最小限に押さえるためのリカバリー法として参考にしていただきたい。
【PART1】個人情報漏えい・紛失が止まらない!
~大手銀・地銀では総計350万人を超す勢い~
個人情報保護法が4月1日に全面的に施行された以降でも、個人情報の漏えい・紛失事件が後を絶たない。この約3カ月間に報道されたものだけでも少なくとも120件を超える。特に大手銀行・地銀のずさんぶりが浮き彫りになった。
■みちのく銀行に初の是正勧告
今年4月22日、みちのく銀行(本店・青森市)は「お客さま情報が記録されたCD-ROM(バックアップ用)3枚が当行内で紛失していることが判明致しました」と発表した。その際のニュースリリースでは、CD-ROM3枚に記録されている顧客情報として約131万件としている。金融機関としてはかつてない規模の個人情報流出であるだけでなく、氏名、住所、電話番号、生年月日、年齢のほか、預金残高や貸出金残高などの重要情報まで記録されていたCD-ROMが紛失したという。
金融庁は同行が規定通りに個人情報を扱わず、行員に対する教育を怠っていたとして、5月20日に個人情報保護法の全面施行後、初の是正勧告を出した(詳細は「法令等遵守態勢及び経営管理態勢の確立・強化に関する業務改善命令ならびに個人情報保護に関する勧告措置の受命について」)。
ところが、7月1日に同行がまたしても4万件近い顧客情報を紛失したことが明らかになった(詳細は「個人情報管理態勢に係わる点検結果の公表について」)。
4月1日に個人情報保護法が全面的に施行され、民間企業にも順守が義務づけられて以降でも、顧客情報の漏えい・紛失が逆に急増したかに思える。4月以降、この7月初旬までの間、毎日のように事件や事故が続き、報道されたものだけでも120件を超える。
前半はNTTデータや松下電工などの大手企業が漏えい事件を起こし、6月後半からは三井住友・りそな・UFJ信託などの大手銀行をはじめ、地方銀行や信用金庫など金融機関の情報紛失が“ラッシュ”のように続いている。7月初旬時点で公表した金融機関は数にして87、紛失した情報は350万人を超す。各行とも個人情報の記録されたCD-ROMなどのメディアを誤って破棄した可能性が高いとしているが、個人情報に対するずさんさはあきれるばかりだ。
また、4000万件というクレジットカード情報が危険にさらされる漏えい事件も米国で起き、私たちの個人情報は想像以上の危機的状態にある。
■事件発生後のリカバリーが大切
日本ネットワークセキュリティ協会の安田直義事務局長代理(主席研究員)はこう語る。
「みちのく銀行が受けた是正勧告は、セキュリティポリシー(規定書)などを作るだけでは足りず、内部でどう運営するかが問われたのだと思う。ただ、今は事故を起こしてはいけないという前提ばかりが強調され、発生したとき、いかにリカバリーするかがあまり話し合われていないのが気になる。事故ゼロを前提の指導など、非現実的だ」。
『日経コンピュータ』誌(日経BP社)の小原忍デスクも「隠しておくと事が大きくなるので積極的に公開している面もあるが、いくら規定を作っても情報が漏れるときには漏れる。漏えいを完全に封じることはできない」と語る。
そのためにも、規定に関する定期的な啓蒙(けいもう)活動と内部への浸透、およびITなどの技術の活用が必要だと小原デスクは指摘する。つまり、社員一人ひとりが日常的に個人情報の扱い方と意識を身につけ、トラブルが発生したときには被害を最小限に押さえる行動ができるかどうかだ。同時にデータの暗号化やネットワーク上の防御、セキュリティソフトの導入など、技術的対策も必要となる。
国民生活センターが今年3月に発表した『個人情報流出に関する事業者調査結果-急がれる個人情報管理体制の強化-』によると、流出先が判明した事例(12件)のうち、4件は架空請求や商品先物取引等などの電話勧誘などに利用されている。
情報漏えいは、架空請求などによる顧客からのクレームで初めて発覚するケースも少なくない。いかに“早期発見”し、初動を早めることができるかが今後、問われることになるだろう。
日経BP社 2005年7月19日
Link
6月には約4000万件ものクレジットカード情報が危険にさらされた米カード情報流出事件があり、日本にもジワジワと影響が広がっている。いまや個人情報は世界を駆けめぐり、どこで漏えいするか誰も分からない。企業としては社員の意識の向上や取扱の日常的な訓練、およびITなどの技術によるセキュリティ対策を行った上で、漏えい事件が起きた後の事後対策を策定しておく必要がある。本特集の最後では、その6ステップを整理した。被害を最小限に押さえるためのリカバリー法として参考にしていただきたい。
【PART1】個人情報漏えい・紛失が止まらない!
~大手銀・地銀では総計350万人を超す勢い~
個人情報保護法が4月1日に全面的に施行された以降でも、個人情報の漏えい・紛失事件が後を絶たない。この約3カ月間に報道されたものだけでも少なくとも120件を超える。特に大手銀行・地銀のずさんぶりが浮き彫りになった。
■みちのく銀行に初の是正勧告
今年4月22日、みちのく銀行(本店・青森市)は「お客さま情報が記録されたCD-ROM(バックアップ用)3枚が当行内で紛失していることが判明致しました」と発表した。その際のニュースリリースでは、CD-ROM3枚に記録されている顧客情報として約131万件としている。金融機関としてはかつてない規模の個人情報流出であるだけでなく、氏名、住所、電話番号、生年月日、年齢のほか、預金残高や貸出金残高などの重要情報まで記録されていたCD-ROMが紛失したという。
金融庁は同行が規定通りに個人情報を扱わず、行員に対する教育を怠っていたとして、5月20日に個人情報保護法の全面施行後、初の是正勧告を出した(詳細は「法令等遵守態勢及び経営管理態勢の確立・強化に関する業務改善命令ならびに個人情報保護に関する勧告措置の受命について」)。
ところが、7月1日に同行がまたしても4万件近い顧客情報を紛失したことが明らかになった(詳細は「個人情報管理態勢に係わる点検結果の公表について」)。
4月1日に個人情報保護法が全面的に施行され、民間企業にも順守が義務づけられて以降でも、顧客情報の漏えい・紛失が逆に急増したかに思える。4月以降、この7月初旬までの間、毎日のように事件や事故が続き、報道されたものだけでも120件を超える。
前半はNTTデータや松下電工などの大手企業が漏えい事件を起こし、6月後半からは三井住友・りそな・UFJ信託などの大手銀行をはじめ、地方銀行や信用金庫など金融機関の情報紛失が“ラッシュ”のように続いている。7月初旬時点で公表した金融機関は数にして87、紛失した情報は350万人を超す。各行とも個人情報の記録されたCD-ROMなどのメディアを誤って破棄した可能性が高いとしているが、個人情報に対するずさんさはあきれるばかりだ。
また、4000万件というクレジットカード情報が危険にさらされる漏えい事件も米国で起き、私たちの個人情報は想像以上の危機的状態にある。
■事件発生後のリカバリーが大切
日本ネットワークセキュリティ協会の安田直義事務局長代理(主席研究員)はこう語る。
「みちのく銀行が受けた是正勧告は、セキュリティポリシー(規定書)などを作るだけでは足りず、内部でどう運営するかが問われたのだと思う。ただ、今は事故を起こしてはいけないという前提ばかりが強調され、発生したとき、いかにリカバリーするかがあまり話し合われていないのが気になる。事故ゼロを前提の指導など、非現実的だ」。
『日経コンピュータ』誌(日経BP社)の小原忍デスクも「隠しておくと事が大きくなるので積極的に公開している面もあるが、いくら規定を作っても情報が漏れるときには漏れる。漏えいを完全に封じることはできない」と語る。
そのためにも、規定に関する定期的な啓蒙(けいもう)活動と内部への浸透、およびITなどの技術の活用が必要だと小原デスクは指摘する。つまり、社員一人ひとりが日常的に個人情報の扱い方と意識を身につけ、トラブルが発生したときには被害を最小限に押さえる行動ができるかどうかだ。同時にデータの暗号化やネットワーク上の防御、セキュリティソフトの導入など、技術的対策も必要となる。
国民生活センターが今年3月に発表した『個人情報流出に関する事業者調査結果-急がれる個人情報管理体制の強化-』によると、流出先が判明した事例(12件)のうち、4件は架空請求や商品先物取引等などの電話勧誘などに利用されている。
情報漏えいは、架空請求などによる顧客からのクレームで初めて発覚するケースも少なくない。いかに“早期発見”し、初動を早めることができるかが今後、問われることになるだろう。
日経BP社 2005年7月19日
Link