2008年11月11日 11:00

個人情報漏えいの実態から、その対策とトレンドを垣間見る

この記事のURLhttp://japan.internet.com/wmnews/20081111/6.html

著者：ループス・コミュニケーションズ取締役副社長福田浩至

国内internet.com発の記事

プライバシーマークを取得した企業は、9,803社と1万社に迫る勢いだ。（2008月11月7日現在）

【図1】プライバシーマーク取得事業者数の推移
*クリックして拡大

推移グラフをみると、まさにHype 曲線のトレンドにのっている。2005年に個人情報保護法が全面施行されたタイミングが Hype「過度な期待のピーク期」であることがはっきり見て取れる。現在は、年間1,000～1,500件程度で推移している「生産の安定期」にあると考えて間違いないだろう。

業種別にみると、サービス業が70％を超える。サービス業が顧客情報を基盤に事業を展開していることを考えれば、取得に関心が強いのも当然だ。とりわけ Web サービスでは、顧客情報が電子化されているので、漏えいした場合にはすべての顧客情報が根こそぎ流出してしまうリスクにさらされている。

プライバシーマークを取得する際には、個人情報を取得する業務の洗い出しや漏えいした場合のリスク想定、漏えいしないような対策（ルール策定、エビデンス取得）を綿密に検討しながら「個人情報保護マネージメントシステム」を全社的に構築してゆく。

この作業経験をすると必ず余計な個人情報は扱わないようにしたいと、切実に思うものだ。そうはいっても、まったくゼロというわけにはいかない。個人情報の流出ルートについては、独立行政法人情報処理推進機構が昨年5月に公開した「情報漏えいインシデント対応方策に関する調査報告書」（PDF）には、図2のように漏えいの態様分類の例が示されている。

【図2】個人情報漏えいの態様分類

あくまで調査対象企業の事例ということだが、「紛失・盗難」、「Winny/Share 等の漏えい」、「誤送信」、「内部犯行」で85％以上を占める。つまり、個人情報を参照できる担当者が故意にあるいは過失により漏えいすることが主なリスクであることがわかる。

如何に堅牢なデータセンターやサーバールームに設備を置いたとしても、最終的には担当者のモラルの問題だ。このリスクを最小化するためには、サーバーが自社内にあるか否かは重要な問題ではない。

経営規模や財務余力のある企業であれば、自社内にセキュリティ万全のサーバールームを保有して、ロイヤリティの高いシステム管理者を雇用することも可能だが、多くの中小企業においては投資対リスクのバランスがなりたたない。

先々を考えても、通信技術、セキュリティ技術は日々進歩しており、常時キャッチアップしてゆくことはかなりの労力と能力を必要とする。事実、大多数の Web サービスの顧客 DB はサービス運営会社で保管するのでなく、データセンターに委託している。

もちろん、社員の守秘義務（個人情報を含めた）の徹底や管理・監視プロセスの品質を高めることが大前提になる。つまり、物理的な情報管理は専門家のデータセンターに任せ、社内の業務規定を改善し続けることで、リスクを削減するというアプローチである。

最近、注目されている SaaS や Cloud Computing といった技術テーマはまさにこのニーズを後押ししている。SaaS の代表的なサービスである salesforce の利用企業の増加をみると、企業情報を外部企業に委託する抵抗感は着実に薄れてきているように思われる。

企業内コミュニティにおける個人情報といえば、社員のそれに最も気遣う必要がある。登録する項目としては、極力機微な個人情報を含まないように配慮されるべきだが、人事担当者は、家族構成や給与データと連携して利用できたらさぞかし便利であろう。

新しくプロジェクト立ち上げるリーダーは、メンバーを人選するにあたり社内で歴任した配属先を含めた職務経歴を知りたいだろう。このような要望との折り合いをつけるには、企業内コミュニティと社内情報システムを連携する仕掛けが必要だ。

当然社内情報システム側の機密性、セキュリティコントロールを変えることがないことが前提だ。

手前味噌になるが、弊社では、イントラページのログイン URL と ID、パスワードを企業内コミュニティで管理する機能を用意した。企業内コミュニティにログインしていれば、ワンクリックで業務日報システム、営業管理システム、顧客管理システムのそれぞれログインした状態の画面に遷移できる。

もちろん、アプリケーションによってアクセスする端末・拠点が限定された環境でなければ、ログインはできない。メンバーには、使い勝手がよいとなかなか好評だ。今のところ ID/パスワードの連携だけであるが、これを基本にプロフィールやデータの連携も考えられる。

OpneID や SochialGraph などで実現する機能を企業内の複数システムに応用すると、大変便利な企業情報システムが構築できるのではないだろうか。

前回ふれたコミュニティサイト技術には、けしてコンシューマー向け（to C）に限らず、企業情報システム(to B、to E)の連携にも活用すべき要素技術がふんだんに盛り込まれている。

【当コラム執筆は、Looops Communications 取締役副社長の福田浩至が担当しています】

記事提供:株式会社 Looops Communications(ループス・コミュニケーションズ)

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。