PART1 「情報」は常に狙われている：「性悪説」による機密・個人情報漏えい対策 第1部

ここ数カ月の間に、大量の顧客情報が流出する事件が数多く報道された。こうした機密情報の流出は、実際の被害とともに、企業イメージの低下というダメージも計り知れない。第1部では、内部情報が狙われる理由を探っていく。

[N+I NETWORK Guide]

N+I NETWORK Guide 7月号（2004年）より転載しています

情報の漏えいは外部からの指摘で初めて発覚する

　ここ1年の間に起こった数万人規模の顧客情報漏えい事件は10件を超える。こうした内部情報漏えい事件は、なぜ起こるのだろうか。内部情報は、嫌がらせや愉快犯的な行為によって持ち出されるのではない。ちょっとしたミスで流出してしまうこともあるだろうが、実はその多くは、はっきりとした意図を持って情報が持ち出されているのだ。

　第1部のPart1ではまず、ここ1年間に報道された顧客情報漏えい事件を振り返ってみる。そして、Part2では、こうした顧客情報が狙われる理由を詳細に分析していく。

漏えいに気づいて初めて「事件」になる

　共同通信社が主要159社に対して行った「危機管理アンケート」によると、過去2年間に顧客の個人情報が漏えい、もしくは紛失したと回答した企業は15社（9.4％）に上った。

表1■過去1年に発覚した主な顧客情報漏えい事件（5万件以上）

　表1に、過去1年間に起こった数万人単位の顧客情報漏えい事件をまとめた。これらの事件のほとんどが、顧客をはじめとする外部からの指摘によって初めて顧客情報の漏えいに気づいている。顧客の元に身に覚えのない請求書やダイレクトメール（DM）が届くことで、ようやく顧客情報が持ち出されたことが発覚したのだ。つまり、アンケート結果の約10％は、何らかの理由で漏えいに「気づいた」企業の割合ということはできないだろうか。

　多くの場合、架空請求書やDMを送付する業者と情報の買い手は一致しない。いわゆる「名簿業者」が、顧客情報を漏えい者から買い取っているのだ。こうした「個人情報市場」は、最近興ったものではない。今までも常に、顧客情報は狙われていたのだ。ただ、データがデジタル化され、数万人単位の個人情報も簡単に持ち出せるようになったにすぎない。顧客情報をはじめとする機密情報は、常に管理・監視していなければならないのだ。

取引先、業務委託先から情報が漏れる可能性

　あまり報道はされないが、最近の顧客情報漏えい事件に見られる傾向は、システムをアウトソースしていて、そのアウトソース先から情報が流出したというケースだ。これは、社会的には顧客情報を集めた企業の責任が問われるが、最終的にはアウトソース先にも何らかの対応が求められることは想像に難くない。実際、ある顧客情報漏えい事件では、委託先であるSIerからも事件の詳細が発表され、Webサイトには謝罪と対策が掲載された。

　こうしたケースでは、外部に委託する側とされる側の間に十分な取り決めが必要だろう。先に紹介したアンケート調査によると、現在実施している情報漏えい対策として「取引先などと守秘契約を結ぶ」を挙げた企業は67.3％に及んだ。今後は、情報セキュリティ保持に厳密に対応できる業者にアウトソースするケースが増えてくるだろう。

「性善説」から「性悪説」への転換

　では、顧客情報が漏えいしてしまった企業は、どのような被害を被るのだろう。一番大きいのは、事件が大々的に報道されることによる信用の失墜ではないだろうか。実際、表1にある事件では、一度失った信用を回復するためにさまざまな取り組みを行っている。たとえ顧客に実被害がなかったとしても、謝罪文と慰謝料的な金品を送ったというケースは少なくない。これらは、1人あたりの金額は少ないが、数十万人に対するものであるため、それぞれ数億〜数十億円単位の出費となっている。失った信用を回復するためにかかるコストと労力を考えてみても、事前に情報セキュリティの強化に取り組んでおくことがいかに大切かがわかる。

　内部セキュリティ強化には主に、システムに関するものと、「人」に関するものの2通りある。システム強化は、認証や権限に関するものだ。一方の「人」に関するものは、教育の徹底であったり、罰則の強化などである。これらはすべて、「性善説」を前提としてきた旧来の考え方を「性悪説」に転換することを意味しているのだ。