「Pマーク取得祭り」の次に来るもの：これがなければ始まらない？ ISO27001取得への道（1/3 ページ）

情報セキュリティは企業の普遍的かつ最大の悩み。そこで、企業はこぞってPマークを取得したが、それでも情報漏えい事件は後を絶たない。

[富永康信（ロビンソン），ITmedia]

このコンテンツは、オンライン・ムック「運用管理の過去・現在・未来」のコンテンツです。関連する記事はこちらでご覧になれます。

　情報漏えいの事件、事故が相次ぐ昨今、システム管理者にとって情報セキュリティは必須かつ最大の課題の1とつとなっている。

　万が一、個人あるいは企業の情報が漏えいした場合、企業へのインパクトは計り知れないことは容易に想像できる。まず、マスコミ報道による社会的信用の低下と、それによる売上減、株価の低下（傾向としては10〜20％ダウン）がある。また、取引先との関係悪化、訴訟／弁済のコスト、再発防止対策に費やすコストなどが覆いかぶさってくる。

情報漏えい事件に見るビジネスへの深刻度

　最近では、情報漏えい保険に加入する企業が増えているようだが、一度失った信用は金銭では補いきれない。最悪の場合、倒産の危機に直面するケースも考えられる。次の事例を見ていただきたい。

情報セキュリティ事故　ケースその1

　1999年、宇治市において発生した情報漏えい事件では、住民基本台帳データを活用した乳幼児健診システムの開発に際し、委託したシステム開発企業の孫請け会社の社長とアルバイトの大学院生が逮捕された。名簿業者に20万件のデータを売り渡し、その名簿業者は結婚相談所や婚礼衣装業者に再販売して発覚した。委託先のさらに孫請けで発生した犯罪だが、そこまでの秘密保持契約や監査の仕組みを構築する必要性が浮き彫りとなった。

情報セキュリティ事故　ケースその2

　2007年3月、大日本印刷が業務委託を受けて預かっていた「JACCSカード」の個人情報約15万件が、業務委託先の元社員によって持ち出され、43社分、計863万7405件がインターネット通販詐欺グループに売り渡されていた事件。ここでは、会員情報が悪用された結果、49会員、667万円分の実害が発生した。

　大日本印刷では、委託先との機密情報保持契約、Pマーク（プライバシーマーク）の取得、監視カメラの設置、生体認証による入退室管理、ポケットのない作業服の着用義務付け、アクセスログの取得、ID／パスワードの導入など、考え得る多くの対策を実施していたが、それにもかかわらず漏えいが発生した。データに触れられる人物が悪意を持てば、こうした施策が無意味となってしまう問題が浮き彫りとなった。