?
フランス7月革命を主題とした 『ドラクロア作:民衆を導く自由の女神』
女性の隣に立つマスケット銃を手にしたシルクハットの男性は、
ドラクロワ自身であると言われている。(ルーブル美術館蔵)
パリ:ルーブル美術館
■ 個人情報漏えい対策〔7つのポイント〕
漏えいしないためにどんなことに気をつけるか!
(IPA: 独立行政法人情報処理推進機構) では『企業(組織)で働くあなたへ…7つのポイント』と題して、情報漏えい対策の注意点を掲載しております。中には、私たちが日常考えているような当たり前と思われる内容も含まれておりますが、情報漏えいの原因は、その「当たり前のことが守られないところにある」とも言えます。
IPAの『企業(企業)で働くあなたへ・・・7つのポイント』は企業人のみならず一般の方にとっても、多々参考になると思いますので、今回はこの中から主要な点を抜粋して掲載いたします。 また当然のこと、「個人情報」のみならずその他の「機密情報」なども同様に対処することが大切であることは言うまでもありません。
● 持ち出し禁止
1. 企業(組織)の情報資産を、許可なく、持ち出さない
● 安易な放置禁止
2.企業(組織)の情報資産を、未対策のまま目の届かない所に放置しない
● 安易な廃棄禁止
3. 企業(組織)の情報資産を、未対策のまま廃棄しない
● 不要な持ち込み禁止
4. 私物(私用)の機器類(パソコンや電子媒体)やプログラム等のデータを、
許可なく、企業(組織)に持ち込まない
● 鍵を掛け、貸し借り禁止
5.個人に割り当てられた権限を、許可なく、他の人に貸与または譲渡しない
● 公言禁止
6.業務上知り得た情報を、許可なく、公言しない
● まず報告
7.情報漏えいを起こしたら、自分で判断せずに、まず報告
1. 企業(組織)の情報資産を、許可なく、持ち出さない。
自宅などで業務を行うために、勝手に企業 (組織 )のパソコンや、業務情報が格納された電子媒体あるいは書類を持ち帰ることは、情報漏えい防止のため一般的には禁止されております。
JNSA (NPO 日本ネットワークセキュリティ協会 )の調査によると、情報漏えいの原因は、盗難(25.8%)、紛失・置忘れ(42.1%)であり、これだけで全体の約70%を占めています。 情報資産を持ち出すことは、このような事故につながりかねません。
2. 企業(組織)の情報資産を、未対策のまま目の届かない所に放置しない
【やってはいけない例】
・ 業務上大切な書類を机の上に放置したまま席を離れる、あるいは帰宅する。
・ 離れた場所にあるプリンタに出力した書類を、すぐに取りに行かない。
・ 起動中のパソコンを他の人が利用できる状態で席を離れる(パスワードロックしない)。
・ 移動可能なパソコン (ノートパソコン) を机の上に放置して帰宅する。
・ 大切な情報が格納された電子媒体や書類を、鍵のかかるキャビネットなどにしまわない。
・ 個人宛の伝言メモを誰でも見えるところにおく。
3. 企業(組織)の情報資産を、未対策のまま廃棄しない
企業(組織)内で業務に使用していたパソコンを、ハードディスクをきちんと消去しないまま廃棄し、そこから情報漏えいすることは、よく聞かれる話です。 同様に、業務情報を格納した電子媒体や書類を、安易にゴミ箱に捨てたために、情報漏えいしたと言うのもよく聞かれる話です。
最近は、パソコンのハードディスクの内容を完全に消去するサービスを行う企業もありますが、このようなサービスを受けたり、あるいはデータの抹消ソフトで消去するなど、企業 (組織) 内で廃棄のための手順や技術を確立する必要があります。
重要な書類や電子媒体を、一般ごみと一緒にゴミ箱にポイ捨てするなど言語道断と言うことです。 重要な書類であれば、管理者の管理下あるいは専門の業者で、細かく裁断するとか溶解処分することをお勧めします。 FD やCD/DVD の電子媒体の場合も、再利用が出来ないのであれば、裁断(破砕)してから処分することをお勧めします。
4. 私物(私用)の機器(パソコンや電子媒体)やプログラム等の
データを、許可なく、企業(組織)に持ち込まない
【やってはいけない例】
・ 私物 (私有) のパソコンを持ち込んで、企業(組織)のネットワークに接続した。
・ 業務に必要のない情報 (データ) を、業務中に利用した。
・ 業務に必要のない私物 (私有) のプログラム (ソフト) を、業務中に利用した。
・ 業務に関係のないフリーウェアあるいはシェアウェアのプログラムを
インターネットからダウンロードした。
・ 業務に関係のないWeb サイトを業務用のパソコンで閲覧した。
・ 業務で使用する電子メールアドレスを、私用で使用した。
・ 情報を格納することのできる USB メモリなどの外部記憶装置を持ち込んで、
業務用のパソコンに接続した。
5. 個人に割り当てられた権限を、許可なく、他の人に貸与または譲渡しない
情報資産を守るためには、利用者権限(アクセス権)を個別に与えることが必要です。つまり、利用者ID ごとに利用権限が決められていて、利用者ID はパスワードまたは個人認証で保護することになります。これらの利用者ID やパスワードを共有したり、貸し借りしたりすることは、情報セキュリティ上非常に大きな問題を引き起こす可能性があります。
業務の担当者を識別するために利用者ID とパスワードが設定されているのに、このパスワードを安易に貸し借りする行為は、愚かと言わざるをえません。 又、貸し借りはしなくとも、パスワードなどを忘れないように、パソコンに貼り付けておくなどの行為も言語道断です。
また、他の人に与えられた利用者ID およびパスワードを使用する行為は、「なりすまし」と呼ばれ不正アクセス禁止法 (不正アクセス行為の禁止等に関する法律) に抵触します。
6. 業務上知り得た情報を、許可なく、公言しない
業務上の情報を、意図的に、知らない人にベラベラしゃべる人はいないと思われますが・・・気の合う仲間と雑談している時に、何気なしに口にした情報を誰かが聞いているかも知れません。
又、ショルダーハッキングと呼ばれる行為がありますが、これはいわゆる肩越しに盗み見る行為のことを言います。 盗み聞きや盗み見など「壁に耳あり、障子に目あり」を忘れずに、と言うことです。
【やってはいけない例】
・ 居酒屋で・・・上司の悪口や仕事の話を大声でしゃべる。
・ 電車の中、携帯電話で仕事の話をする (マナー違反でもあります)。
・ 出張で、新幹線の中パソコンで仕事をする (持ち出しOK?)。
・ 会社の帰り道、電車の中で資料のレビューをする (持ち出しOK?)。
・ 不特定多数の人が集まる集合ビルの喫煙所で仕事をする。
・ 業務に関係のないブログや掲示板に、自己紹介のつもりで仕事の話をアップしてしまった。
数え上げるとキリがないようですが、これらの行為もセキュリティ上危険度の高いものであると言えます。悪意のある人はどこにいるかわかりません。 偶然聞いた情報や盗み見た情報から、大きな情報漏えいへと発展する危険性もあります。 自分が情報漏えい源にならないよう、このような行為は慎まなければなりません。
さらに、
・ 企業(組織)外からの電話・・・友人と称して、休みの人の連絡先やその人の仕事の内容を聞かれた。
・ システム管理者を名乗る人からの電話・・・利用者ID やパスワードを聞かれた。
・ 会員登録と称して、仕事の内容を事細かに入力させる登録画面。
のような、ソーシャルエンジニアリング手法を用いたアプローチがあるかも知れません。 『不注意でした』では済まされない情報漏えい、日ごろの心掛けが大切と言うことになります。
ソーシャルエンジニアリングとは
ネットワークの技術やコンピュータ技術を用いずに、人間の心理や社会の盲点を突いて、パスワードなどの機密情報を入手する方法。 例えば、言葉巧みにパスワードを聞き出す、廃棄物から重要な情報を読み取る、社員になりすまして盗み見や盗み聞きをする、など。
ソーシャルワーク、ソーシャルハッキング、ソーシャルクラッキングと呼ばれることもあります。 |
7. 情報漏えいを起こしたら、自分で判断せずに 「まず報告」
何らかの誤りで情報漏えいを起こしたり、あるいは情報漏えいを発見したりした場合は、自分で何とかしようとする前に、上司や管理者に報告して下さい。
情報セキュリティの用語では、情報漏えいなどのセキュリティ事故をインシデント、その対応をインシデントレスポンスと呼びます。 企業(組織)においては、インシデントの発生を想定し、あらかじめインシデントレスポンスについて十分な検討と訓練を行っておく必要があります。 漏えいした情報によっては、企業活動が滞ったり、企業 (組織) のブランドイメージを失墜させたりすることがあります。 当然、あなただけの問題ではなくなっていると言うことです。 すばやい対応が、問題を最小限に止めることができる可能性があるので、「まず報告」が重要であると言うことです。
インシデントとは
何らかの問題が発生し、この問題により重大な事故となる可能性がある場合の出来事のことを、一般的にインシデントと呼びます。情報漏えいに関して言えば、些細な情報漏えいでも、場合によっては、それが大きな問題(事故)の引き金になる可能性があると言うことです。 |