特集
2004/03/01 00:00:00 更新


内部情報漏えいを起こさないための基礎 (1/2)

情報漏えいトラブルは後を絶たない。電子データのリスクを知り、適切な対策を施していくほか、このトラブルに対処する手立てはないだろう。

 昨年秋、会社から貸与された1台のノートPCを社員が紛失した。毎年PCが1000万台以上出荷されていることを考えれば珍しいことではないが、今回は様子が違った。紛失した社員にとって不幸だった以上に、会社にとっても大きな不幸となったのである。

 紛失したノートPCには、顧客情報が入っていた。このため、会社は顧客(約2万3000件)にお詫びすることになったのである。謝罪に伴う経済的な負担も大きかったが、企業がこれまで築き上げた信頼を失わせたことによるビジネス機会の損失も大きかったに違いない。もしも、2万3000件の顧客情報が紙媒体であったなら、数キロの重量となるため、持ち歩るかずに運用業者へ依頼するなど、紛失は避けられたかもしれない。顧客情報が電子データであったことから、容易にノートPCへ複写され、格納されて持ち歩いた。つまり、同じ価値を持つ顧客情報でも、媒体が異なれば、そのリスクも異なってくる。ここに電子データの情報漏えいの脅威が存在するのである。

 現在、重要な情報の多くが電子化されている。経営者はこれを利用して迅速な決定を下し、ネットワークを通じて部下に決定事項が瞬時に伝達される。スピードを重視したビジネスは、ますます重要性を高めている。ただし、そこにはセキュリティが確保されていることが前提となる。事業戦略・研究開発など、機密性の高い情報が漏れていては、経営者の判断が正しくても、ビジネスの優位性を保つことは難しいからだ。ネットワークが高速化され、大量データが簡単に移動できる現在、スピードを競う前に、情報の保護に関心を持たないと足元をすくわれかねない。

社員を責めれば、漏えいトラブルの再発防止につながる?

 機密性の高い情報をノートPCに入れたまま、持ち歩く社員は責められる。しかし漏えいトラブルをそれで解決できるほど、簡単な問題ではない。なぜなら、ノートPCを貸与されている社員のほとんどが、移動先のホテルや自宅などで仕事をしているからだ。

 ITによってビジネスのスピードを優先させた結果、電子メールによるコミュニケーションが容易になり、数Mバイト程度のファイルをやり取りできるようになった。それでも、見積り書や提案資料を社外で作成するには、会社にある大切な電子データが手元にあった方が効率的だ。その結果、社内のサーバから機密情報もノートPCへとコピーされるのである。

 なにしろ、最近のノートPCに内蔵されているHDDの容量は数十Gバイトもある。OSやアプリケーションを除いても、空き容量が数Gバイト残っていることも珍しくない。2万人の個人情報リストがCVS形式に格納した場合のファイルサイズが、数Mバイトであることを考えれば、ノートPCには莫大な情報を蓄積できることが分かる(1Gバイトは1000Mバイト)。このほかにもメモリカードやUSBタイプの外部記憶装置の大容量化によって、情報を格納する器は拡大している。

 経営者がビジネスの効率性を求めれば、社員が会社から貸与されたノートPCを駆使して利便性を追及すること、つまり企業の機密情報をノートPCにコピーすることを止めることはできないだろう。今、企業は善意の利用者(社員)による情報漏えいに備える必要がある。

中途半端な対策は「焼け石に水」

 企業が最初にやるべき情報漏えい対策は、「情報の洗い出し」、「情報漏えいを防止する手段の選択」の2つだ。これらを十分に検討しないで対策をとれば、中途半端に終わり、情報漏えいの原因となることがある。

      | 1 2 | 次のページ

[佐藤隆,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.