大規模個人情報漏えい事件は、内部者の故意(不正)によって発生する。内部者への統制が不可欠だ。対策として社員の監視を検討する必要がある。
N+I NETWORK Guide 10月号(2004年)より転載しています
|
個人情報の漏えいによって、企業のトップが謝罪する場面をひんぱんに目にするようになっている。2000年1月の旧科学技術庁のホームページ改ざん事件以来、情報セキュリティの必要性が叫ばれて久しいが、情報セキュリティ事件は減少するどころか、増加の一途をたどっている(図1)。
2004年1月以降、事件によって漏えいした個人情報の件数を、流出経路(内部者によるものなのか、外部者によるものなのか)によりまとめたのが図2である。もちろん、報道されていない事件もあると考えるが、この図から内部者への統制が不可欠であることが読み取れる。また、50万件を超える大規模漏えい事件はすべて、内部者の故意(内部不正)により発生している。
筆者が所属するKPMGグループでは、内部不正の発生を促進する要因を、次の3つに分類し、「不正のトライアングル」と定義している(図3)。
昨今の企業を取り巻く環境は、この3要因すべてにおいて、情報漏えいを加速させる方向にある。
まず、「不正を犯す機会の存在」についてだが、情報化の推進によって一部の者が持っていた情報が積極的に共有され、誰にどこまでの対策を施すのかを決定することが難しくなってきている。また、情報システム自体が複雑化し、企業の理念・方針を情報システムのすべての機能に適用させることが困難になってきている。
次に、「倫理観・誠実性の欠如」についてだが、コア・コンピタンス経営の流れにより、派遣社員、外部委託業者などの活用なしには業務遂行が難しくなってきている。さまざまな倫理観を持つ者に情報を利用させる必要があり、利用者全員の倫理観を向上させることは容易ではない。特に最近は、業務が再委託、再々委託されることも多々あり、誰に情報が利用されているかを把握することも難しくなってきている。
最後に、「不正を犯す動機の存在」についてだが、架空請求事件の活発化に伴い、積極的に個人情報の収集を行っている業者もある。自らが保持している、もしくは閲覧できる情報に具体的な金額を提示されれば、情報を提供する者がいることは想像に難くない。
現実的にも、企業からの個人情報の漏えい量が増え、個人情報の取引金額が値下がりを続けているとの報道もある。企業は、内部不正による情報漏えいに積極的に取り組む必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.