考えさせられる情報セキュリティ対策【ＫＤＤＩ個人情報流出事件】

話は違うのですが、今日、会社の車で高速道路に乗ったのですが、
自分の前にＥＴＣゲートを通過したトラックに追いつくことができませんでした。
自分の車のスピードメータはx23km/hで、それでも引き離されていきます。

「それが何って？」
最近のトラックは速度抑制装置が義務化されているから110km/h以上出ないハズですよね。
なのに追いつかない。まぁ装置を外してあるかもしれないのですが、
こんな暴走トラック、久しぶりだったもので・・・・

 

　　　　　

さて本題。

昨日、家に帰ったら怪しいＤＭに紛れてこんなのが届いていました。

「お客様情報流出の調査結果と再発防止の向けた取り組みのご報告」

前にBlogに書いた通知の完結編のようです。
内容はここに書かれている通りなのだが、その対策に疑問を覚えます。

お堅い話ですが、自分なりの切り口で思ったことを述べましょう。

今回の個人情報流出も例に漏れず下請け会社の社員の持ち出しが原因です。
そして、その情報が流れ流れて悪い人の手に渡って恐喝してしまったワケです。
犯人は恐喝未遂で執行猶予付き判決が下りそうですが、
この事件でのＫＤＤＩの損失は数億円規模になったハズです。

事件の対策として、ＫＤＤＩは、模範とも言える情報セキュリティ対策を掲げています。

「お客様情報流出の再発防止に向けた情報セキュリティ強化対策について」

これだけの取り組みをして、再発は防げるのでしょうか？
世間では巨額を投じてセキュリティシステムを強化して、
社員を教育すれば再発防止策として認められる風潮があります。
でも、これだけのシステムで個人情報は守れるのでしょうか？
この社員は個人情報の重要性を知らないで持ち出したのでしょうか？
どちらも「ＮＯ」だと思います。

システムを強化すれば、今回のような数百万人規模の持ち出しは防げるかもしれません。
仮に持ち出されても、今回程度の個人情報では「企業の信用失墜」で脅すことが限界ではないでしょうか。
どこかに売られても、我々の個人情報が悪用されても変なＤＭが届くくらいでしょう。

一方、例えば悪意ある社員が、料金延滞の人、
１０人分の名前と電話番号を持ち出したらどうでしょう？
料金延滞という弱みのある人ですから、に架空請求すれば１人くらい引っかかるかもしれません。
１０人くらいの名簿なら、紙と鉛筆があれば誰でも持ち出せますし、
シンクライアントも、セキュリティ完璧の入退出も何の効力も発揮しません。

社員の教育という視点ではどうでしょうか？
この下請け会社の社員は、個人情報の重要性を知らないで持ち出したとは考えられません。
おそらく、仕事に追われて必要に迫られて持ち出したのではないでしょうか？
このように、故意に持ち出す社員や、仕事に追われ必要に迫られて持ち出す社員に対して
「守秘義務契約」や「教育」なんて何の役にも立ちません。
彼らはその重要性を「熟知」していますから・・・・

自分が思うに、個人情報保護対策の本質は
保護すべきは情報の質であり、量では無いし、
大切なのは教育では無く、従業員の満足度だと思います。

今回一番失われたのはＫＤＤＩの信用であり、個人の情報ではありません。
ＫＤＤＩは企業の信用のために情報セキュリティ対策を高めた以外に他ならないでしょう。
これでまたどれくらいの費用がかかったのでしょう？
その費用は我々利用者が負担するのです。

ＫＤＤＩを例にしましたが、実際問題、多くの企業のセキュリティ担当者は、
個人情報のリスク管理を主眼とした情報セキュリティ対策の無意味さに気づいているハズです。
でも、質や満足度という抽象的な題材は投資も評価も難しいので、取り組み対象に成りにくいです。
さらに「セキュリティ」という商材で我々情報産業業者が、
競ってユーザーにお金を使わせるモデルもできあがっています。

もう一つの切り口、今流行の「内部統制」は、規則で事象を抑制することばかりで、
「社員のモラル」も「自律」ではなく「規則」の中で求めていることには疑問を感じます。

従業員が自分の会社に誇りを持って、仕事に責任感をもてる会社風土、
これが今、一番大切な気がするのですが。。。