ニュース
» 2015年06月16日 10時00分 UPDATE

半径300メートルのIT:きれいな言葉でまとめた「やったつもりのセキュリティ」が一番怖い (1/2)

「セキュリティポリシー」や「プライバシーポリシー」をWebサイトに公開する企業は多いのですが、それを作ったことで安心しきっていませんか?

[宮田健,ITmedia]

 日本年金機構による個人情報の流出発覚から2週間が経過しました。「一時的に」閉鎖されていたWebサイトも暫定復旧したものの筆者が一番知りたい漏えいの経緯といった続報はいまだ出てきません。

 「基礎年金番号」「名前」「生年月日」「住所」の4情報が漏えいした約9000人に対して、「お詫びとお願い」の文書を送付しているそうですが、事故に便乗して個人情報を盗み出そうとする輩もうごめいているようです。基礎年金番号に関係する問い合わせや営業などの電話がかかってきても冷静に対応してください。

不安を感じた2つの「宣言」

 事故を公開した当初、日本年金機構のWebサイトにはさまざまなコンテンツが掲載されていました。その中で筆者が不安に思ったページが2つあります。

 1つは、「個人情報の漏えいが心配ですが」というタイトルのFAQページ。ここでは、年金の取り扱い業務を委託する外部業者の選定について、「全省庁統一資格」や「プライバシーマーク」「ISO27001:2005/JISQ27001:2006」を取得していることが条件だとアピールしていました。

 もう1つは、トップページの目立つ場所からリンクされていた「お客様へのお約束10か条」。日本年金機構が国民に対して約束した10カ条が掲載されていました。

 いまとなっては空虚な印象しかない2つの「宣言」。世間からは容赦なく攻撃されることでしょう。ただ、筆者はこれを他山の石として自社のセキュリティポリシーを見直す機会にすべきだとも考えています。

「やったつもりのセキュリティ」になっていませんか?

 こういった宣言を社訓や社是としてWebサイト上で公開している企業は多いと思います。公開していないとしてもほとんどの企業が社歴の長さに関係なく持っているはず。なぜならば経営者がその熱い思いを従業員に伝え、共有するための指針は絶対に必要だからです。

 社訓や社是を否定するつもりはありません。ただし、事業が回り始めて人が増えてくると、社訓や社是が単なるきれいな言葉でしかなくなるタイミングがあると思います。日本年金機構のWebサイトを見たとき、そんな印象を持ちました。

       1|2 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -