それでも事故は発生する――個人情報保護法施行後に見えてきた情報漏えい対策の課題：個人情報保護時代の情報セキュリティ再考（3/3 ページ）

[櫻井真，ITmedia]

それでも事故は発生する

　このような対策を実施しているにもかかわらず、個人情報の漏えい事故は減っていない。

2005年4月以降の主な情報漏えい事件、事故（2005年4月1日〜12月19日までにメディアなどで公表された事例を基に分類・集計。この間に発生したすべての情報漏えい事件・事故を網羅しているものではありません）

　事故が増えている最大の要因は、個人情報保護法施行以前は必ずしもすべての事故について報告していなかったものを、各企業に個人情報保護体制・方針が作られたことにより、影響度が小さいと考えられる情報漏えい事故についても都度報告するようになったためと考えられる。しかし、これら情報漏えい事故の原因に着目し分析することは、今後の事故を減らすためには大切なことだ。原因をカテゴリ化してみると、紛失・誤廃棄、誤送信・誤送付といった人為的なミスや盗難に起因するものが多いことが分かる。

情報漏えい事故の原因カテゴリ

　このように人為的なミスが多い理由は、主に以下の2つが考えられる。

• 実施されているはずの個人情報保護対策が社内の末端まで徹底されていない。ちょっとした不注意が事故につながっている
• 個人情報の取り扱いに対するルールを取り決めたが、必ずしも情報システムによる強制力を働かせる対策が取られていない。人間のオペレーションに頼っている

　そこで、個人情報保護のために行われた情報漏えい対策の実態から、これら対策における課題を掘り下げ、どうすれば社内の重要情報をより高レベルに保護していくことができるのかについて、次回から解説していきたい。

　そのために、先に述べたシステム対策を以下のように分類する。

1.コンピュータ上のデータに対する保護策（アクセス制御、行動記録など）

2.ノートPCなどの盗難・紛失に起因する個人情報漏えいへの対策（暗号化など）

3.外部からの不正アクセスによる漏えいに対する保護策（安全なWebアプリケーションの構築など）

　次回以降、それぞれの分類ごとにその実態と課題について述べていこう。

櫻井真

三井物産セキュアディレクション（株）ソリューション事業部長。ソフトウェア開発エンジニアやシステム構築プロジェクトマネジャーなどを経て現職。システム構築に関する幅広い経験と知識に基づき、顧客に最適な情報セキュリティシステムの提案やコンサルティングを行っている。