logo

「過剰な情報は持たない」というセキュリティ対策--ヤフーとACCSの取り組みとは

  • このエントリーをはてなブックマークに追加

 大手通信販売業者やインターネットプロバイダからの顧客情報流出事件が新聞紙上をにぎわせている。ヤフージャパン法務部部長の別所直哉氏は6月23日、シーネットネットワークスジャパン主催の「CNET Japanフォーラム 企業情報セキュリティを考える」で「プライバシーを守るために--情報漏えいとセキュリティの観点から--」と題して講演し、「“絶対安全”ということはないことを自覚し、個人情報保護の取り扱い方やセキュリティポリシーを社内に浸透させていく必要がある」と述べ、ヤフーの個人情報保護への取り組みを説明した。

ヤフージャパン法務部部長 別所直哉氏
 「会社が被害を受けるのであればまだ対処の仕方がある。しかし利用者個人のプライバシー情報の漏えいなど、善意の第三者が被害を受ける可能性があるものについては、優先的に安全性を確保しなければならない」(別所氏)。その安全性確保のために、(1)基本的なポリシーの確立、(2)リテラシーとモラルの徹底、(3)利用者との約束(プライバシー・ポリシーの明文化)、の3点が求められるという。

 だが、こうしたセキュリティ体制の確立は「言うは易く、行うは難し」といわれている。組織内のプライバシーポリシー遵守率の低さや、悪意を完全に防御する手立てがないことなどがその理由だ。これに対し、別所氏は「まずポリシーは、誰が読んでも分かりやすいものであることが、コンプライアンスの徹底につながる」と明言。ちなみにヤフーの場合、「情報を持てばそれだけリスクも増える」という観点から、「不要な情報は収集しない、情報アクセスは必要最低限のレベルで」などを基本ポリシーとして掲げている。また社内に潜む悪意への防御策としては、社員1人1人との機密保持契約の締結や、内部告発制度の導入、ログの保存などで対処しているという。

 特に「不要な情報は収集しない」という点については、担当者によって評価が分かれるところだ。たとえばマーケティング分析用の個人情報を収集したいがために、キャンペーンやプレゼント企画を打ってプライバシー情報を収集する手段を講じる企業も多い。だが「情報があればあるほど、その分リスクが増えることを自覚するべき。絶対ということはないのだから、情報の安全性確保の手段を徹底する一方で、万が一事故が起こったときにも被害が最小限で済むように、不要な情報を持たないのも一手」(別所氏)という。

社団法人コンピュータソフトウェア著作権協会(ACCS)専務理事・事務局長の久保田裕氏

 引き続き、同セミナーで「『ASKACCS』サイトにおける個人情報流出事件とその対応策について」と題して講演したコンピュータソフトウェア著作権協会(ACCS)の専務理事・事務局長 久保田裕氏も同様の考え。久保田氏は、2003年11月に同協会のサイト「著作権・プライバシー相談室」(ASKACCAS)で起こった個人情報盗難事件と抜き取られた個人情報の一部がインターネット上に短時間流出するに至った経過、その後の対応について詳しく説明し、「一度でも個人情報流出事件が起こると、事件発生前の状態に戻すことは不可能」(久保田氏)と述べ、インターネットに被害者の個人情報が流出していないかどうかを現在も継続して調査していること、ならびに相談者に記入を求める項目を見直し、不必要な個人情報の収集を取りやめたことを明らかにした。

 事件前まで、著作権・プライバシー相談室(ASKACCS)の相談フォームでは、相談者の氏名・年齢・住所・電話番号・メールアドレスを必須入力項目としており、これらの情報を受け取るためのCGIプログラムは、レンタルサーバーの運営先で組んだものをそのまま流用していたという。ところがこのCGIプログラムに脆弱性があり、実際に「office」と名乗る人物がその脆弱性を突いて1200人分の個人情報を入手した旨を同協会に通知したのが事件の始まりだ。2003年11月9日の事件発覚後からおよそ5カ月近くASKACCSは閉鎖され、再開したのは今年3月18日。再開に当たっては、「個人が特定できる不必要な情報の収集はしない」「社内のセキュリティ体制の整備向上を図る」など4点の方針を決めたとのことだ。

 本事件は、脆弱性を利用して個人情報を入手した者が自ら被害者側に通知してきたという珍しいケースで、また同協会の迅速な対応により容疑者逮捕から訴訟までがスピーディーに実行されたという特徴がある。久保田氏は、「実際に事件が起きてみて、個人情報流出についての刑事罰は現在存在しないことを改めて認識した」と語る。続いて、「今回の事件では、当協会はハッカーの被害者であるとともに、実際に流出した個人情報を持つ方々にとっては『加害者』になってしまった。これを反省し、二度と同じことが起こらないように社内体制を整えるほか、何が必要な情報かを取捨選択し、過剰な情報収集に走らないようにしたい」と締めくくった。

-PR-企画特集