【概要】
2016年の個人情報漏えいインシデント合計は468件であり、(1)管理ミス(159件:34.0%) (2)誤操作(79件:15.6%)(3)紛失・置忘れ(61件:13.0%)(4)不正な情報持ち出し(32件:6.8%)(5)設定ミス(22件:4.7%)そして(6)内部犯罪・内部不正行為(4件:0.9%)の内部犯行が全体の75%も占めている。
情報漏えいは内部から起こっている人的要因が殆どであり、人的要因に対しては注意喚起の繰り返しや啓蒙的な教育的な指導が殆どであり、システム的な対応は解決の決定打とはならないのも事実と挙げられる。

【画像 http://www.dreamnews.jp/?action_Image=1&p=0000173806&id=bodyimage1

情報漏えいの原因には、故意が認められない「うっかり」が58%を占めており、故意による内部不正は42%にも及んでいる。しかし、故意の中には業務が忙しく、終わらせる為に持ち出す必要があったが、16%も占めており、仕事に対する責任行為から引き起こされているとも考察できる。その他の原因を見てみると個々の置かれている処遇や立場に対する不満が引き金になっている様にも思われる。業務や処遇改善はすぐに実現できるものではないのも事実である。また、漏えいした情報の内容を見てみると、顧客情報が半数以上を占めており、且つ個人情報に該当する項目が多い事は大きなリスクになる可能性がある。
2016年度の情報漏えいの一人当たりの想定損害賠償額は3万1,646円に及んでおり、一件当たりの平均想定損害賠償額は6億2,811万円にも及んでいる。どの様な理由があるにせよ個人情報漏えい事故が、会社に与える被害は非常に大きい事を認識しなければならない。今後は内部犯行への対応に加え、サイバー攻撃等の外部からのインシデントに対しても十分な対策を講じなければならない状況下にある。

【画像 http://www.dreamnews.jp/?action_Image=1&p=0000173806&id=bodyimage2

1950年に米国の組織犯罪研究者のドナルド・R・グレッシー(Donald Ray Cressey)が、体系化した「不正のトライアングル」と言う考え方では、人は不正を行うための「動機」が存在し、不正を行う「機会」があり、そして不正をおこなう事が「正当化」できると、不正行為をしてしまうという物です。もし、この「不正のトライアングル」を崩すことができれば、不正行為すなわちコンプライアンス違反を減らすことができると考えられています。
組織対策として能動的に低減できる要因の、(1)「動機・プレッシャー」の低減には、職場環境整備、不満の解消が挙げられています。また、(2)「機会」の低減としては、(1) 監視・不正行為の抑止(必ずみつかる、利益にならない)や、(2) アクセス管理・ログ管理・暗号化等、そして(3) 組織対策体制・内部統制・法令遵守強化やモニタリング、通報制度等が挙げられています。しかし、半世紀以上も経過しているのに、一向に目に見えた成果につながってこないのでしょうか?アクセス管理やログ管理は2次被害の防止には役に立つかもしれませんが、初期被害に関して全く効力がありません。また、人に心理はあまり厳しいルールで締め付ける事は、やらされている意識が過剰反応し、逆効果になる事も十分に考えられます。
【 対策を講じるべき個人情報の漏えいになる情報源を完全に把握しているのでしょうか?】
企業の中にある個人情報は、文書(紙)、電子記録媒体(CD・FD・DVD)、コンピュータのシステムディスクなどに存在しています。その他にも知らずに利用されている個人情報や社外で利用している個人情報もある。個人情報の中には、法人税法施行規則では源泉徴収票など税務に係る個人情報の保管期間が定められており、「7年」と明記されています。企業には、作成後7年はきちんと保管しておく義務があることになります。個人情報は持っておかなければならない期間は定められていますが、逆に「●年以上持っていてはダメ」というような決まりは基本的にはありません。ただ、情報を持っているとそれだけで漏えい等のリスクが存在することになりますし、改正個人情報保護法の19条では「利用する必要がなくなった時には、遅滞なく消去するよう努めましょう」と言うような内容が記載されています。社内・外に散在している個人情報を管理できている人材はいるのでしょうか?既に退職しているので把握できていないと言う発言を耳にします。今こそ適正な管理を行う為には、これら全てを洗い出し、棚卸しをすることが必要なのです。

【画像 http://www.dreamnews.jp/?action_Image=1&p=0000173806&id=bodyimage3

【 社内外に点在している個人情報の棚卸しを実現し、情報漏えいの課題を根本から解決!】
『PC-FILTER』によってローカルPCに保存されている「個人情報データ」を探索し、予め設定しておいた指定フォルダにデータを移動。指定フォルダに移動されたデータは、『Secure Explorer』が常時監視を行っており、新規にて移動された個人データを分割して任意の保存先に分散保存を実行します。
分散保存されたデータは、無意味なデータに変換されておりますので、仮に窃取されたとしても個人情報漏えいには該当しません。『PC-FILTER』は、予め「個人情報」の探索条件を決められますので、AND/ORの項目が多いほど、誤検知や過検知は少なくなり、適切にありかが分からずに放置されている個人情報の棚卸しをすることができます。更には『Secure Explorer』との連携により、棚卸しした個人情報を内部不正や外部からの攻撃から守り、安全な管理を実現致します。

【 Secure Explorer Version1.2】
『Secure Explorer Version1.2』 は、秘密分散法によって社内外に散在している個人情報を無意味化し、企情報漏えいのインシデントを限りなく0%に近づけることが可能です。クラウドストレージを活用することでコスト面からもご利用者をサポート致します。分散保存された個々の個別片はランサムウェアの感染も防ぎますので、重要な個人情報が身代金対象になることも防止いたします。

-Secure Explorer紹介サイト:http://www.innov-firm.co.jp/product_secureExplorer.html

【画像 http://www.dreamnews.jp/?action_Image=1&p=0000173806&id=bodyimage4

《 関係者からのエンドースメント》
■株式会社JSecurity:http://www.jsecurity.co.jp
『PC-FILTER』はクライアントPC上に保管されているファイルから個人情報の対象ファイルを検索し、サーバーやNASなどの保存機器に集約することが可能です。担当者が退職し十分な引継ぎができていな企業は数多く存在しております。現状把握ができないいない企業は常に大きなセキュリティホールを持っております。『PC-FILTER』はそのセキュリティホールになる散在して埋没している個人情報を探索し、見つけ出します。開発元である株式会社JSecurtyは、今回、株式会社イノベーション・ファームが開発した『Secure Explorer』との連携により、企業や自治体が手付かずの状態になっている個人情報の棚卸しから安全なる保管のソリューションを提供して参ります。

■ 株式会社イノベーション・ファーム:http://www.innov-firm.co.jp/index.html
個人情報の棚卸しは、まさに企業が抱えている大きな爆弾を無くすために必要なアクションだと強く感じております。株式会社J-Security様との連携は、企業や自治体が抱えている大きな課題を解決し、更にはクラウドの活用を身近にできるソリューションであると確信しております。株式会社J-Security様とは更なる連携強化を推進し、市場が抱えているあるいは、まだ気づいていないインシデントを未然に防ぐ画期的なセキュリティソリューションのご提供を目指して参ります。



情報提供元: Dream News
記事名:「 ヒューマンエラーは厳密なルールを定めても起こる! 重要個人データを『集め・意味化・管理』、 個人情報の棚卸しを実行し、情報漏えいの根本的な要因をカット! 重要なデータを守るセキュリティソリューション連携