特集
» 2005年03月10日 08時00分 公開

個人情報が流出 有事のときの危機管理:第3回 事故発生時の対応のポイント (2/3)

[丸山満彦,ITmedia]

1.事件、事故の分類

 事実調査では個人情報の漏えいをどのように検出するかが重要となる。一般には、事件、事故として取り扱う事象を分類し、定義する。個人情報の漏えい対策といっても、実際は不正アクセスや内部者による情報システムの濫用などを原因として発生することが多い。従って、個人情報漏えいの原因となる事象ごとに対策を考えておくのがよい。例えば、大きくわけて以下2つの対策を事前に考えておくとよいだろう。

(1)内部者(正当なアクセス権を持っている人)に起因する可能性が高い状況

(2)外部者(正当なアクセス権を持っていない人)による不正アクセス

 もちろん、例えば「ウイルスにより個人情報が漏えいした場合」といったように、この2つですべてを網羅することはできない。しかし、上記2つの分類では実際の対策と、法的な対応が異なる。(1)は営業秘密の漏えい、媒体などの漏えいに焦点を当てた証拠収集が必要となるし、(2)であれば不正アクセス禁止法に関連する証拠収集が必要となる。また、(1)の場合は、社内の人間による可能性も高く、情報の取り扱いについて社内に対してもかなり神経を使わなければならない。

2.検出

 まず、「何を検出したら事件や事故と捉えるか」を定義する必要がある。これを定義しておかない限り組織間を超えた連携は行えない。しかし、現実問題として、厳密に定義しつくせるものでもないので、関係者の間で用語の意味を統一するなど現実的な線を決めていくしかない。検出についても次のような段階がある。

表2●一般的な検出の段階
(1)実際の攻撃、事件 ・IDXXXXが個人情報のあるXXXXデータベースの情報を電子メールに添付して送付した
・外部から不正な攻撃が行われ、個人情報のあるXXXXデータベースにアクセスされている
(2)事件の具体的な予兆 ・IDXXXXが個人情報のあるXXXXデータベースに業務時間外に頻繁にアクセスをしている
・個人情報のあるXXXXデータベースのアクセス権の設定に誤りがあり、本来ならばアクセスができない人もアクセスできる状態になっていた
(3)事件発生の可能性が高まっているという事実 ・個人情報のあるXXXXデータベースにシステム上の脆弱性がある
・会社のデータベースに格納されている個人情報が高い値段で取引できるという噂が社内で広まっている
(4)外部からの通報など ・漏えいした個人情報を持っているという人物からの連絡
・漏えいした個人情報を持っているという人人物を知っている第三者、報道機関などからの連絡
・漏えいしたという連絡を受けた所管省庁、認定個人情報保護団体からの連絡
・匿名掲示板などへの書き込み

 以上のような例を参考に、どこまでを検出の対象とすべきかを定義しておくべきだろう。次に検出する情報のソースについてであるが、次のように考えるとよい。

表3●検出の際の情報ソース
警報IDS、アンチウイルスソフト、外部専門会社監視サービス、防災センターの不審者侵入の警報
ログ検査の結果システムログ(OSやデータベースのアクセスログ、操作ログなど)、建物・部屋への入退館ログ
そのほか専門会社、他の関連組織、外部者、専門家からの脆弱性情報、組織内の情報

 個人情報が漏えいした事実は、次のようなことで分かる場合が多い。

  1. 短期間に自分の情報が漏えいしているのではないかという問い合わせが相次ぐ
  2. 漏えいした個人情報を持っているという連絡が入る
  3. 「漏えいした個人情報を持っているという人物から連絡があった」といった報道機関から問い合わせがくる

影響範囲の特定(分析・事実関係の確認)

 影響範囲の特定は、事件や事故の報告を受けて分析を行うことになるが、具体的な分析手法は事件、事故それぞれの内容により変わってくる。実際に分析をする際のポイントは、「事実」を適切に記録、文書化することである。何を、いつ、どこで、誰が、どのように検知したかを文書化して残していくことになる。分析の結果、漏えいの事実や漏えいの可能性が高いことを確認した場合、主務大臣等へ事実関係を報告することになる。

 なお、ここでの分析は詳細な漏えいの原因を追究することではなく、以下の内容を把握し、今後の被害拡大防止などの対策を行うために必要な分析である。

  1. 漏えいした可能性があるかどうか、またその可能性が高いかどうか
  2. 漏えいの可能性のある個人情報の範囲(概要)
  3. どのような経路で漏えいしたのか
  4. 漏えいした個人情報が流布されている範囲

事件の公表など

1.主務大臣等への事実関係の報告

 政府基本方針をうけ、省庁ガイドラインでは、漏えいなどの事故が発生した場合に主務大臣に、またはその行為が犯罪の可能性がある場合は捜査当局へ報告することを規定している。被害の拡大防止の観点などから自らの企業だけの努力だけでなく、省庁の処分を恐れて事件などの隠蔽を図ることなく主務大臣等に報告し、適切な対応を行い、被害の防止、事件の拡大の防止に努めるべきである。

2.事実関係の本人への通知、公表など

 本人への通知のタイミングは若干の考慮が必要である。その行為が犯罪の可能性がある場合は、本人に通知することが捜査を妨害する可能性もある。従って、そのような場合は、捜査当局と相談しながら進めることが重要となる。

 また、本人へ通知できない場合もある。その会社と取引があること自体を家族や他人に知られたくない場合もあるからだ。そのような場合は、1人1人に通知をするのではなく、公表という手段によることも考えられる。

 上記のような理由でない場合は、二次被害の防止、類似事案の発生回避などの観点から、可能な限り事実関係を公表することが重要である。しかし、社会的な影響がほとんどない場合は、その事実を公表する必要はないだろう。些細な個人情報の漏えいをいちいち公表することで、かえって重要な情報が埋もれてしまうからだ。

 また、上場している企業の場合、リスク情報の適時開示の観点から取引所の規程に基づき、プレスリリースなどを行う必要もある点に留意していただきたい。

 ここまでの過程では、どちらかというと正確性よりもスピードが要求されるものである。

原因の究明(対応の準備と対応)

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ