情報漏えいで目立つ紙媒体、きちんと管理していますか：会社に潜む情報セキュリティの落とし穴（1/2 ページ）

企業の情報漏えいでは、漏えいした媒体の大半を紙が占めている。手軽なものの、セキュリティ対策が難しいとされる紙媒体の管理を考える。

[萩原栄幸，ITmedia]

数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、企業や組織に潜む情報セキュリティの危険や対策を解説します。

　今年もNPO 日本ネットワークセキュリティ協会（JNSA）から「2008年 情報セキュリティインシデントに関する調査報告書」が発表されました。毎年この調査から幾つかの興味深い内容をチェックしていますが、その1つに「漏えい媒体・経路」があります。漏えいした媒体が具体的にどのような種類であり、どの規模であるのかが分かるのですが、毎回1位となっているのが「紙媒体」です。過去5年（2004〜2008年）を振り返っても、紙媒体が漏えい媒体の4〜5割を占めて1位になっており、2008年は55.9％と過去5年間で最も高い割合になりました。今回は紙媒体における情報セキュリティ対策についてお話します。

紙媒体管理のアラカルト

　実際に企業ではどのように紙媒体の管理が行っているのでしょうか。例を幾つかみてみましょう。

　まず、紙媒体の利用や紙自体の量を抑制するものがあります。コピーやプリンタだけでなく、定期的に配布される「還元資料」（月次支店別売上一覧や顧客別売上推移表など）といった文書を、文書管理ソフトで整理・統合します。従業員がさまざまな統計資料として自由に活用したり、データベース化をしたりできるほか、不要な資料の印刷をカットする、ユーザー別に出力状況を管理する、PCの画面で確認できる資料を印刷不可にするといったことも可能です。紙の電子化プロジェクトとして、全社的に取り込んでいる企業も数多くあります。

　紙媒体の利用状況にかんするログの蓄積も重要です。ある企業ではプリンタやコピー機を使用すると、「誰が」「どのような資料」「いつ」「何ページから何ページまで」「部数」「用紙サイズ」といった情報をきちんと管理者サーバにログとして残し、実際に印刷した内容のイメージデータまで蓄積しています。さらに、管理者は印刷部数が多いと感じる従業員に連絡し、その利用が妥当であるかを確認するなどの作業も行っています。

　別のケースでは、コンピュータルームなどの出入口にガードマンを配置して荷物検査を実施し、許可された紙文書だけが持ち出されているかを確認しています。入口にロッカーを設置し、そこに私物など持ち込む必要のない物を入れて、絶対に必要な物だけを持ち込むようにしている企業や、紙文書にICタグを貼り付け、許可された紙文書だけが出入口でチェックされるようにシステム化した企業もあり、紙文書に対する管理の考え方は多々存在します。自社のビジネス環境や企業風土、対策の重要性などを総合的に考慮して判断すべきでしょう。

　このほか、情報漏えいが判明した際にその媒体を調べることで漏えいさせた個人を特定出来る仕組みを構築しているケースや、「コピー防止用用紙」を使うケースもあります。この用紙には、紙に印刷された内容（原本）をコピーしようとすると光の反射を利用してコピーが出来ないもの、コピーするとコピーした側に紙に「複写」や「コピー」という文字が表示されます。これにより、コピーされたものは少なくともその「原本」ではないと分かるので、住民票など原本性を担保する必要があるところに使われています。

　ちょっと変わった例では組織の内部不正への技術的な対策として、ある従業員が内部不正に加担しているらしいという疑いが発生したら、システム管理者がその従業員のIDにフラグを立てることで、その従業員がアクセスした資料名や印刷したページ、部数などをシステムが自動的にトレースし、その証拠をつかむというものもありました。現在では会社の規則や念書などで規定されていないと法的に困難な例が多く、従業員組合や顧問弁護士と相談してから運用すべきでしょう。