情報漏えい事件から考えるビッグデータとサイバーセキュリティ：ビッグデータ利活用と問題解決のいま（2/3 ページ）

[笹原英司，ITmedia]

対岸の火事ではないソニー・ピクチャーズの被害

　2014年11月には、ソニーの米国子会社であるソニー・ピクチャーズ・エンタテインメント（SPE）のネットワークが海外からのサイバー攻撃を受け、情報流出被害が発生していることが報じられた（関連記事参照）。その後SPEから、HIPAAの保護対象保健情報（PHI）に該当する従業員の医療データが漏えいした可能性があることが公表され、DHSやFBIに加えて、HHSも関わる問題へと発展していった。

元従業員を含む医療データ流出に関するSPEの告知

　SPEに対しては、元従業員らによる集団訴訟が提起されており、CHSのケースと同様にeディスカバリーへの対応が迫られている。特にコンテンツビジネスを展開するSPEは、動画や音声など様々な非構造化データを知的資産として大量保有しているだけに、eディスカバリーによる負荷は大きい。

　日本では企業の健康保険組合を中心に「データヘルス計画」を策定し、健診データやレセプト情報を集約・分析して、健康増進や疾病予防に役立てようとする動きが活発化しているが（厚生労働省「医療保険者によるデータヘルスについて」参照）、SPEのケースは、健康医療データそのものがサイバー攻撃を受けて外部へ流出した。企業の人事労務部門や健保組合が保有する情報がビッグデータ化すればするほど、サイバー攻撃の標的となって損失を招くリスクも高まる。特に、ビッグデータへのアクセス権限を有する特権管理者や業務運用に関わるデータベース管理者、データサイエンティストのアカウントは格好の標的となるので、サイバーセキュリティ教育の強化が必須だ。

　また健康医療データ管理システムだけでなく、データヘルス支援用のウェアラブル機器やIoT（Internet of Things）、モバイルアプリケーション、さらにこれらのデータを収集・保存する外部のクラウドサービス事業者のセキュリティ脆弱性についても継続的なチェックが必要だ。モバイルデバイス管理（MDM）に際しては、いわゆる「BYOD」（Bring Your Own Device）対策も絡んでくる。なお、IoTを含むモバイルクラウドセキュリティのリスク評価に関しては、現在「クラウドセキュリティアライアンス」のモバイルワーキンググループがガイダンスの策定作業を行っており、筆者も参画している。

　加えてSPEは、ニューヨーク証券取引所および東京証券取引所に上場するソニーの連結対象子会社であるため、米国のSOX法、日本の金融証券取引法・会社法に基づく情報開示や内部統制の問題が関わってくる。実際、親会社のソニーは、SPEにおけるサイバー攻撃を原因とする大規模システム障害を理由に、2014年度第3四半期決算報告書の提出期限を今年の2月4日まで延長し、映画分野の営業利益を下方修正したことを公表している（ソニー投資家情報参照）。

　海外の拠点・連結子会社を含むグループガバナンスに関して多くの日本企業は、情報セキュリティ、プライバシー保護、内部統制、業法など、各国・地域の法令やガイドラインに従い、適用範囲を設定した上で、機器やシステムから監査情報を収集し、監査担当者が定期的に評価・モニタリングした結果を本社で集約、コーポレートガバナンス組織がチェックする形態を採っている。

　ソニーのように、海外子会社のサイバーセキュリティ対策が企業グループ全体の収益や情報開示に直接影響を及ぼすケースは、今後も十分想定される。しかも、サイバー攻撃の起点としてアジア地域が取り沙汰されるケースが増えており、日本企業にとって対岸の火事でなくなっている点に注意すべきだ。