第三回 機密情報の漏えいを防ぐには：企業内情報をいかに守るか−−リスク回避のためのソリューションを知る

昨今の情報漏えい事件を見ても明らかなように、社内の機密情報がいったん漏えいすれば、それが引き起こす被害が莫大なものになることは言うまでもない。では、なぜ情報は漏えいするのだろうか。そしてそれを防ぐための方法とは？

[片倉秀一（アルプスシステムインテグレーション），ITmedia]

　本稿では前回、前々回と二回に渡り「企業内部におけるリスクマネジメント」をテーマに、主に企業内部からの故意または意図せずに生じてしまう情報漏えいを防ぐための手段について説明してきた。前回はウェブサイトを中心とした「インターネットアクセスマネジメント」による情報漏えいの防止について紹介した。今回は、社内に存在する機密ファイルが外部へ流出することを防ぐ「ドキュメントセキュリティ」について説明したい。

相次ぐ情報漏えいの被害、個人情報保護法の施行も視野に

　2003年の国内における情報漏えい事件は、公開されただけでも件数にして57件、被害者の合計人数で155万4592人（日本ネットワークセキュリティ協会）にのぼった。2004年以降は明らかにこれを上回るペースで頻発している。中には100万人単位の個人情報が流出したケースもあり、そのような企業では謝罪や事後処理にかかる直接的な費用のみならず、社会的な信頼やブランド力の低下といった有形無形の損害を受けたと言ってよい。情報漏えいにかかわる損害は、例えばウイルスによる被害と比較すると件数でこそ少ないものの、一件あたりの損害額は5億円を超えるなど、非常に重大な被害となるのが特徴だ。

　さらに、2005年4月からは個人情報保護法が施行される。対象となるのは「個人情報取り扱い事業者」だが、5000件以上の個人情報を事業に利用していればすべてが対象となる。これまでは事件を起こしても民事的、道義的な責任を問われるのみであったが、これに加えて刑事訴訟の対象ともなってしまうのだ。

　対象事業者は下記の義務を果たす必要があり、これに違反すると6カ月以内の懲役または30万円以下の罰金という罰則が用意されている。

• 個人情報の収集は利用目的を特定して行なうこと
• 個人情報の取得に際して対象者に利用目的を通知すること
• データ内容の正確性を確保すること
• 安全管理措置を講じること、従業員や委託先の管理措置についても監督すること
• 個人情報の第三者への提供の制限
• 対象者の求めに応じて情報の開示や訂正、利用停止などを行なうこと

　個人情報保護法の概要については、すでに様々なところで紹介されているため、それを参考にしてほしい。

なぜ漏えいするのか？　そして対応策は？

　では本題に戻ろう。そもそも、なぜ機密情報が外部へ流出してしまうのだろうか？　もちろん悪意を持った第三者によるさまざまな犯行（物理的な窃盗やハッキングなど）もあるだろうが、もっと多いのがその情報へアクセスするしかるべき権限を持った社内の人間が故意、あるいは意図せずに持ち出してしまうことが非常に多い。これまでの事件でも犯人が過去に社員だったり、業務の委託先の人間であったりすることがよく見られる。文書管理システムなどで適正に情報を保護しているだけでは、残念ながらもはや十分ではなくなっているのである。

　これらは米国などで多く見られるケースだったが、終身雇用モデルがすでに崩れている日本でも、こうしたモラルの低下は問題視されている。

　それでは、どのような方法を取ることでこれら社内情報の外部流出を防ぐことができるだろうか？

　まず、それぞれの情報がどのような意味合いを持ち、どのような目的で使用されているかを全社的に調査する必要がある。しかし、実際にそれを行うためには、各部署による洗い出し作業や重要度の取り決め、要不要の判断などが必要となり、それだけで数カ月はかかってしまうというのが現実である。そのため、まずはあらゆる経路における重要情報の流出を防止すること、また万が一外部へ出た際に利用できないように暗号化しておくなど、システム側で管理することが先になる。このようにシステム的に情報漏えいを防ぐためのアプリケーションが、最近話題の「情報漏えい防止システム」である。

情報漏えい防止システムに求められる要件とは？

　昨今の関心の高まりを受け、単なる暗号化システムやDRM（Digital Rights Management：電子データの著作権管理）システムなども「情報漏えい防止」を標榜している。しかし、実際に情報漏えいを防ぐために必要な機能として、下記の点に注意して製品を選ぶことをお勧めする。

• ドキュメントアクセス権限をユーザーごとに設定できる

　当然のことであるが、すべてのデータを管理対象にすることは現実的に不可能であるし、その必要もないだろう。実際には特定のデータに対するアクセス権をどのユーザー・グループに認めるか、ということになる。当然編集制限や外部メディアへの持ち出し、閲覧権限のみなど必要に応じて柔軟に設定できることが望ましい。

• 暗号化ができる

　故意あるいは何らかのミスにより外部へ情報が渡ってしまった場合であっても、暗号化をしておくことにより最悪のケースは防ぐことができる。特定のフォルダの情報のみを自動的に暗号化するなどの設定をしておけば、ユーザー側に負担をかけることなく運用が可能だ。

• ドキュメントへのアクセスログが取得できる

　何らかの不祥事が起きてしまった際の事後対応という意味合いだけでなく、不穏な動きをしているユーザーを特定することで未然に防止することにも役立つ。また、ログを取るということ自体が社員への監視への意識付けにもつながる。

• ドキュメントの利用有効期限を定めることができる

　見積りや各種契約など、社外へ特に重要な情報を送る際には取り扱いに注意すべきである。社外へデータを提供した瞬間、システムによる管理ができなくなってしまったのでは元も子もない。こうしたデータに対しては有効期限を設けておき、期間終了後は利用できなくしてしまったり、印刷や編集など各種権限をファイルに付与しておくことで、システム外に出た情報についても制御することも必要である。

• プリントマーキングや印刷者情報の出力ができる

　最近ではメールへ添付したり、USBメモリなどを利用した外部へのドキュメント流出が注目を集めているが、こうしたものを規制するだけでは不十分だ。印刷した紙によってデータが流出した事例も数多い。これらを制限するためには印刷の可否は当然のこと、誰が印刷したのかをマーキングしておくことも情報漏えい防止の一助となる。

• コピー＆ペーストやスクリーンショットの制限ができる

　ファイルに対する制限を設定していても、その中身を上記のような方法で持ち出せてしまっては意味がない。当然このような方法に対する配慮というのも必要だ。

　上記のような機能に加えて、これらは単一のコンソールから管理できることが望ましいのは第一回でも紹介した通りである。また機能以外にも、既存のシステムとの連携などもシステム導入の際には考慮が必要となるだろう。これらの観点から適切なシステムを選択してほしい。

　著者の所属するアルプス システム インテグレーションでは、「DocumentSecurity」という製品でこれら多種多様な要望へ対応するソリューションを提供している。大手銀行など金融業を中心に多くの企業で採用されているため、興味を持たれた方はぜひ弊社ウェブサイトにて詳細をご覧いただきたい。

最後に：個人情報保護法への対応は、積極的な企業活動の一助に

　そもそも個人情報保護法は企業活動を制限するものではなく、消費者＝個人の情報を適切に扱うことで企業に対する信頼を獲得し、より密接な関係を実現させるためのものである。プライバシーマークの取得などは具現化されたその一つであるが、企業ポリシーを明確化するとともに顧客へ安心感を与えるためにも、これを前向きな目標・きっかけとすることも有効であろう。少なくとも明確な目的もなく導入するだけでは、どのようなシステムであってもこれまでの業務効率を下げるだけになりかねない。自分の組織はどのような情報をどのように利用するか、そしてどのような保護を行うべきかを考えた上で、うまくシステムを利用していただければと思う。

ドキュメントに対するきめ細かなアクセス権限管理と豊富なログ収集を可能に

情報漏えい防止ソリューション「DocumentSecurity」

　有効期間や編集、閲覧などの細かい権限設定を現在の環境のまま設定が可能。　外部へのファイル持ち出し・ログ収集などにより情報漏えいを未然防止を実現。