セキュリティ事故に備える「CSIRT」構築術

情報漏えい事件から考えるビッグデータとサイバーセキュリティビッグデータ利活用と問題解決のいま(1/3 ページ)

「サイバーセキュリティ基本法」が全面施行され、個人情報保護法の改正に向けた作業も進んでいるが、海外ではサイバー攻撃に起因する情報漏えいが続発している。ビッグデータのメリットを維持するためには、どのような対策が必要なのだろうか。直近の事件から考察する。

» 2015年02月16日 08時00分 公開
[笹原英司ITmedia]

ビッグデータの有望市場がサイバー攻撃の標的になった米国

 本連載の第7回で、米国の健康医療分野のビッグデータセキュリティについて取り上げたが、重要情報インフラ(CII)としての厳格な対策が要求されるこの分野で、外部からのサイバー攻撃に起因する情報漏えいの被害が増えている。

 例えば2014年8月に、全米で病院チェーンを展開するCommunity Health Systems(CHS)が不正アクセスによって患者約450万人の個人情報が流出した可能性があることを公表した(関連記事)。その後の調査で、オープンソースのSSL/TLS実装ライブラリ「OpenSSL」の脆弱性を突いた海外からのサイバー攻撃が発端となったことが判明している。

約450万人の個人情報が流出した可能性のあるCHS

 CHSはニューヨーク証券取引所(NYSE)の上場企業で、最初に米証券取引委員会(SEC)への提出書類を通じて情報流出の事実を外部へ公表した。そこには米国企業改革法(SOX)に基づく情報開示や内部統制の問題が関わっている。また、海外からのサイバー攻撃が発端となったため、当初から米国愛国者法などに基づき、テロ対策を所管する国土安全保障省(DHS)、サイバー犯罪を所管する連邦捜査局(FBI)も関わっている。

 さらに、流出した個人情報が「HIPAA」(Health Insurance Portability and Accountability Act of 1996:医療保険の携行性と責任に関する法律)に規定された「保護対象保健情報」(PHI)に該当するか否かによって、HIPAAを所管する保健福祉省(HHS)への報告義務の問題が関わってくる。法務面では、CHSに対して損害賠償請求の集団訴訟が提起されており、連邦民事訴訟規則(FRCP)に基づく電子証拠開示(eディスカバリー)への対応も迫られている。

 このように、万一サイバー攻撃に起因するインシデントが発覚したら、企業の情報セキュリティ管理者や個人情報保護管理者は、復旧対策を迅速に遂行するだけでなく、社内の各部門やそのパートナー企業と密に連携して、個々の規制当局が求めるコンプライアンス要件を即時クリアしていかなければならない。その対応如何が、企業ブランドの価値を左右する。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ