大手通信販売業者やインターネットプロバイダからの顧客情報流出事件が新聞紙上をにぎわせている。ヤフージャパン法務部部長の別所直哉氏は6月23日、シーネットネットワークスジャパン主催の「CNET Japanフォーラム 企業情報セキュリティを考える」で「プライバシーを守るために--情報漏えいとセキュリティの観点から--」と題して講演し、「“絶対安全”ということはないことを自覚し、個人情報保護の取り扱い方やセキュリティポリシーを社内に浸透させていく必要がある」と述べ、ヤフーの個人情報保護への取り組みを説明した。
だが、こうしたセキュリティ体制の確立は「言うは易く、行うは難し」といわれている。組織内のプライバシーポリシー遵守率の低さや、悪意を完全に防御する手立てがないことなどがその理由だ。これに対し、別所氏は「まずポリシーは、誰が読んでも分かりやすいものであることが、コンプライアンスの徹底につながる」と明言。ちなみにヤフーの場合、「情報を持てばそれだけリスクも増える」という観点から、「不要な情報は収集しない、情報アクセスは必要最低限のレベルで」などを基本ポリシーとして掲げている。また社内に潜む悪意への防御策としては、社員1人1人との機密保持契約の締結や、内部告発制度の導入、ログの保存などで対処しているという。
特に「不要な情報は収集しない」という点については、担当者によって評価が分かれるところだ。たとえばマーケティング分析用の個人情報を収集したいがために、キャンペーンやプレゼント企画を打ってプライバシー情報を収集する手段を講じる企業も多い。だが「情報があればあるほど、その分リスクが増えることを自覚するべき。絶対ということはないのだから、情報の安全性確保の手段を徹底する一方で、万が一事故が起こったときにも被害が最小限で済むように、不要な情報を持たないのも一手」(別所氏)という。
社団法人コンピュータソフトウェア著作権協会(ACCS)専務理事・事務局長の久保田裕氏 |
引き続き、同セミナーで「『ASKACCS』サイトにおける個人情報流出事件とその対応策について」と題して講演したコンピュータソフトウェア著作権協会(ACCS)の専務理事・事務局長 久保田裕氏も同様の考え。久保田氏は、2003年11月に同協会のサイト「著作権・プライバシー相談室」(ASKACCAS)で起こった個人情報盗難事件と抜き取られた個人情報の一部がインターネット上に短時間流出するに至った経過、その後の対応について詳しく説明し、「一度でも個人情報流出事件が起こると、事件発生前の状態に戻すことは不可能」(久保田氏)と述べ、インターネットに被害者の個人情報が流出していないかどうかを現在も継続して調査していること、ならびに相談者に記入を求める項目を見直し、不必要な個人情報の収集を取りやめたことを明らかにした。
事件前まで、著作権・プライバシー相談室(ASKACCS)の相談フォームでは、相談者の氏名・年齢・住所・電話番号・メールアドレスを必須入力項目としており、これらの情報を受け取るためのCGIプログラムは、レンタルサーバーの運営先で組んだものをそのまま流用していたという。ところがこのCGIプログラムに脆弱性があり、実際に「office」と名乗る人物がその脆弱性を突いて1200人分の個人情報を入手した旨を同協会に通知したのが事件の始まりだ。2003年11月9日の事件発覚後からおよそ5カ月近くASKACCSは閉鎖され、再開したのは今年3月18日。再開に当たっては、「個人が特定できる不必要な情報の収集はしない」「社内のセキュリティ体制の整備向上を図る」など4点の方針を決めたとのことだ。
本事件は、脆弱性を利用して個人情報を入手した者が自ら被害者側に通知してきたという珍しいケースで、また同協会の迅速な対応により容疑者逮捕から訴訟までがスピーディーに実行されたという特徴がある。久保田氏は、「実際に事件が起きてみて、個人情報流出についての刑事罰は現在存在しないことを改めて認識した」と語る。続いて、「今回の事件では、当協会はハッカーの被害者であるとともに、実際に流出した個人情報を持つ方々にとっては『加害者』になってしまった。これを反省し、二度と同じことが起こらないように社内体制を整えるほか、何が必要な情報かを取捨選択し、過剰な情報収集に走らないようにしたい」と締めくくった。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」