「小事件」が増えて大事件が減った!?:やらされ感だけでは防げない! プラス志向の情報漏洩対策 第1回
情報漏えいは今、企業の死活問題になっている。漏えい対策を怠れば、信用失墜に直結するのは必然だ。そんな情報漏えいの傾向と現状を分析してみた――。
報道と実態のかい離
情報漏えいは今、企業の死活問題になっている。漏えい対策を怠れば、企業の信用失墜に直結するのは必然だ。
ただ、一口に情報漏えい事件といっても、その内容はさまざまだ。紙誌面を賑わす事件は、報道される内容とその実態にはいくらかかい離が見られるのではないか。
日本ネットワークセキュリティ協会(JNSA)が2006年7月31日に発表した「2005年度情報セキュリティインシデントに関する調査報告書_情報漏えいによる被害想定と考察」によると、企業における情報漏えいの原因は、社員の不注意とされる「盗難」「紛失/置き忘れ」で計67・9%(それぞれ25・8%、42・1%)を占める。誤操作、管理ミス、設定ミス(それぞれ12・4%、5・1%、1・2%)を加えれば、その値は86・6%にも上る(以上、下グラフ参照)。つまり、ほとんどが社員の意識/知識レベルの低さによるものとされている。一言でいってしまえば、いわゆる「うっかりミス」だ。
「大半は、かばんごと中に入っているPCや名簿を盗まれているケース。盗んだ側にしてみれば、金銭目当てだったのに、たまたまPCや名簿、伝票が入っていたということになる。そのほかには、紙の資料などを過って捨てた、事務所荒らしでパソコンを盗まれたというケースがある」(JNSA政策部会セキュリティ被害調査ワーキンググループリーダーの山田英史氏)
「USBメモリなどの外部記憶媒体をかばんごと盗まれるというのもある」(同グループの大溝裕則氏)
小さな事件が増えた!?
また年々、被害者が1、2人といった小規模の漏えい事件が増えているという。その背景には、「個人情報保護に関する法律」(通称「個人情報保護法」。以下、「保護法」とする)が基本方針として、どんな小さな事件でも公表するように掲げていることがあるようだ。また、企業側も、公表しないでおいて後でばれるよりも、進んで公表した方がダメージは小さいと考えるようになっているという。
「保護法が05年4月に施行されることを受けて、(同法施行前は)同年度の漏えい事件の報道は落ち着くと見ていた。ところが実際には、04年度(366件)より増えた(05年度は1032件)。それは、小さな事件でも企業側が公表する傾向があったからだ」(山田氏)
ただ、JNSAの調査は、あくまでも(漏えい事件を起こした企業自身によるなどの)公表ベースであるため、実際に事件が起きたのはそれより何年も前ということもある。つまり、05年度に公表されたからといって同年度に起きたに事件とは限らないのである。従って、同年度になって事件が増えたとは一概にはいえない。
山田氏によると、とりわけ金融関係での発表にはそうした傾向が顕著に見られるという。「保護法の本格始動前に、現状を確認するように金融庁から指導があった。すると、過去のデータがなくなっているということが数多く明るみになった」
一方、被害者の総数は減少しつつあるという結果も出ている。1043万5061人に達した04年度に比べ、05年度は881万4735人。つまり、それだけ大規模な事件が減っているとうことである。
JNSAの調査は独自調査によるものではなく報道ベースであり、個人情報に限っていることから、やや偏りがあるのは間違いない。しかしながら、それぞれの年における社会状況を反映していると考えるのには十分値するものといっていいだろう。
山田氏によると、06年の情報漏えい事件は前期の6カ月間で400件を超えた。通年で800〜900件になる見込みだ。とすると、事件の数自体も減ってきていると考えられる。
とはいえ、それでも一日2件ほどはどこかで情報漏えい事件が起きているのである(「月刊アイティセレクト」12月号の特集「やらされ感だけでは防げない! プラス志向の情報漏洩対策」より)。
本特集では、「事故」も含めて「(情報)漏えい事件」とした。
(※)2005年1〜12月の間に新聞やネットなどの報道によって公表された、国内における個人情報の漏えい事件の調査分析結果。2006年7月31日に発表された。02年度から始められ、これが4回目となる。ちなみに、この調査では「1〜12月」を「年度」としている。
[本文に戻る]
(※)JNSAによると、車上荒らしや事務所荒らしなど第三者によって情報記録媒体とともに情報が盗まれた場合を指す。
[本文に戻る]
関連記事
- やらされ感だけでは防げない! プラス志向の情報漏洩対策 第3回:基本ルール制定で情報漏えいを防ぐ
情報漏えいを完全に防ぐことは難しいかもしれない。とはいえ、基本的なルールを導入し、徹底すれば極力抑えられるといわれる。そのルール制定には、押さえておくべきポイントがある。ただ、それがあまり気付かれていないと指摘されている――。 - やらされ感だけでは防げない! プラス志向の情報漏洩対策 第2回:情報漏えいは法制でもシステムでも防げない!?
個人保護法の施行を受けて、情報漏えい事件の「傾向」は変わったようだ。だが、根本的な解決には至っていない。それは何故なのか。どこに原因があるのだろうか――。 - J-SOX法対策の死角となるか? IT統制の標的 第8回:新興ベンチャー危うし!?
内部統制においてネックになると見られているIT部門。加えて、新興成長企業自体も問題視されている。そこには、世間でもてはやされている多くのIT企業が含まれているのだ――。 - J-SOX法対策の死角となるか? IT統制の標的 第7回:IT部門が生まれ変わるチャンスに!?
内部統制において、その基準を満たさないネックとなるのが、なんとIT部門になるとか。なぜ、かくもそうなったか。ただ、そんなIT部門にとっての「不遇の時代」は、幕を閉じることになる可能性もでてきた――。 - J-SOX法対策の死角となるか? IT統制の標的 第6回:「紺屋の白袴」状態のIT部門
内部統制への関心が高まると同時に、企業は自社のITシステムがどの程度成熟しているのかを確認するようになったといわれる。その結果、ITのスペシャリストが集うはずのIT部門が、実は最も未熟だったことが表面化してきたという――。 - J-SOX法対策の死角となるか? IT統制の標的 第5回:内部統制で「×」となってもいい!?
内部統制が有効とならないケースは増えるという見方は強い。だとすると、そうした企業には何が起こるのだろうか。果たして、内部統制は不適正なままでいいのだろうか。 - J-SOX法対策の死角となるか? IT統制の標的 第4回:内部統制で「×」となる会社は多い!?
J-SOX法対策では、SOX法対策での「反省」を基にガイドラインが築かれつつある。それでも、内部統制が有効とならないケースは増えると見られている――。 - J-SOX法対策の死角となるか? IT統制の標的 第3回:評価範囲の選定プロセスに潜む落とし穴
内部統制が有効であるためには、その評価範囲を選定するのに知っておかなければならないことがある。安易に考えて臨むと、泣きを見ることになりそうだ――。 - J-SOX法対策の死角となるか? IT統制の標的 第2回:評価対象は「己」が決める
金融庁企業会計審議会が11月に公表した内部統制の実施基準案(公開草案)により、「姿」が浮き彫りになりつつある内部統制。一体だれが評価するのか。またその範囲は……。 - J-SOX法対策の死角となるか? IT統制の標的 第1回:再確認! 内部統制とは
何かと話題の内部統制。具現化しづらかったその実態は、浮き彫りになりつつあるようだ。11月になって、ようやくその実施基準案(公開草案)が公開された――。
Copyright© 2010 ITmedia, Inc. All Rights Reserved.