それでも事故は発生する――個人情報保護法施行後に見えてきた情報漏えい対策の課題：個人情報保護時代の情報セキュリティ再考（2/3 ページ）

[櫻井真，ITmedia]

ユーザー認証・アクセス制御

　許可された者のみが個人情報や機密情報にアクセスできるように、利用者を認証して情報に対する適切なアクセス制御を実施することにより、不正アクセスによる情報の漏えいを防ぐ対策だ。

　特に、これまでは利用の簡便さなどの理由により、簡易的な利用者認証のみ（もしくはシステム的な認証を行っていない）や、共有アカウントによりシステムを利用しているケースが非常に多く見られた。だが、こうした方法では情報への適切なアクセスをコントロールできないだけでなく、事故が発生した場合にその情報にアクセスした者を特定することができないという問題もあった。

機器・情報の持ち出し管理

　個人情報漏えい事故としてよく耳にするのが、個人情報を保存したノートPCの紛失や盗難によるものである。情報を保存したノートPCの社外への持ち出しや、USBメモリなどのメディアを利用した情報の受け渡しは、業務上頻繁に行われる。つまり、これらの行為自体を全面的に禁止することは事実上不可能と言えるだろう。

　そこで、ノートPC起動時のパスワード制御、HDD全体のデータ暗号化、操作ログの取得などといった機能を使って、機器の紛失・盗難が発生しても、情報が漏えいすることを防止する対策を講じてきた。

外部からの不正アクセス防止

　情報システムの脆弱性を突いて、外部から不正に企業内のシステムにアクセスし、個人情報や機密情報を盗もうとする外的な脅威も存在する。そのような脆弱性を是正することで、情報システムをより強固にし、社内の情報を保護するというものだ。

　具体的な対策としては、ウイルス対策、不正侵入検知システム、システムの脆弱性検査などが挙げられる。

参考：ITシステムセキュリティの具体的な取り組み実績（日本ヒューレット・パッカード調べ）