2014年、マスメディアで大きく報じられた通信教育大手での個人情報漏洩事件は、関連会社の元従業員、つまり「内部関係者」の犯行によるものだった。内部犯行による情報漏洩は、ひとたび発生すれば多数の重要なデータが流出し、企業の経営責任に直結する問題となる。対策が難しいとされる内部犯行に、どう対処していくべきか。マイナンバー制度対応も視野に入れながら、そのポイントを解説する。
多発する内部犯行による情報漏洩事件
2014年を振り返ると、外部からの不正アクセスによる被害だけでなく、業務委託先も含めた内部関係者による情報漏洩事件が目立った1年だった。中でも社会に最も大きなインパクトを与えたのは、2014年7月に明るみに出た通信教育大手企業における情報漏洩事件だろう。
この事件では、顧客データベースの管理を委託されていた外部業者の派遣社員が、約1年間に渡って顧客情報を外に持ち出して名簿業者に販売していた。流出した個人情報は約4800万件にのぼり、「国内で過去最大規模の個人情報流出事件」と呼ばれている。内部犯行による情報漏洩の危険性を如実に示したものといえるだろう。
だが実は、以前から同様の事件はたびたび発生していた。主要なものだけを挙げても、次のような内部犯行による情報漏洩が発生している。
マスメディアに大々的に報じられたこれらの事件以外にも、クレジットカード会社や医療機関などで、内部関係者の関与によると思われる情報流出事件が発生してきた。通信教育大手の漏洩事件は対岸の火事ではなく、自社でも起こり得るものと考えるほうがいいだろう。
「内部犯行」が与える企業へのインパクト
情報漏洩の件数だけに着目すれば、ミスや不注意に起因する事件の比率が多い。しかし、ひとたび事件が発生した際のインパクトで見れば、内部犯行に起因する漏洩の影響は非常に大きい。
例えば、日本ネットワークセキュリティ協会は「2013年 情報セキュリティインシデントに関する 調査報告書 ~個人情報漏えい編~」の中で、「『内部犯罪・内部不正行為』は(中略)『管理ミス』や『誤操作』に比べて、一件あたりの漏えい人数が多い」と指摘し、その対策を「優先順位を上げて検討しておく必要があると考えられる」と述べている。
漏洩するデータが多くなればなるほど、その分、顧客へのお詫びや補償金の額も膨らむ。通信教育大手のケースでは、利用者への補償として200億円の原資が用意されたことが報じられた。だがこれは、お詫びとして用意する金券500円の分に過ぎない。損害賠償を求める訴訟が起こされれば、同社が背負う金銭的な債務はさらに膨らむだろう。加えて、監督省庁からの指示を受け、原因調査と再発防止策の報告を求められることも多い。結果として経営陣の責任が問われるのは避けられない。
ちなみに、内部犯行による持ち出し対象は、顧客の個人情報だけではない。表立って報じられることは少ないが、財務情報やノウハウ、設計などに関わる技術情報など、企業の競争力に直結する情報が、処遇に不満を抱いていた退職者によって外部に持ち出された事件も発生し、不正競争防止法違反で逮捕されたケースもある。これもまた、企業にとって深刻な経営問題といえるだろう。
防ぐのが難しい「内部犯行」、対策は?
内部犯行による情報漏洩事件はたびたび発生してきた。ならば、過去の教訓を踏まえて対策ができそうなものだが、それが難しいのも内部犯行の特徴だ。というのも、内部関係者は外部の攻撃者とは異なり、データにアクセスできる正当な「権限」を持っている。意図的に不正をしたとしても、技術的な対策だけでは防止が困難だ。
まず、「出来心」を起こしにくくするために「機会」を減らすことが大前提となる。それには管理者権限も含めたセキュリティ対策を厳密に行うことだ。そして権限を分散して、業務上必要なデータ以外にはアクセスできない環境を整える。パスワードの共有などはもってのほかだ。
ここで興味深いのが、独立行政法人情報処理推進機構がまとめた「組織内部者の不正行為によるインシデント調査」の結果だ。この調査では、最も抑止力が高いと考える対策を尋ねたところ、従業員からの回答の1位が「社内システムの操作の証拠が残る」、2位に「顧客情報などの重要な情報にアクセスした人が監視される(アクセスログの監視等含む)」となった。つまり、「不正をしても見張られている」という意識が働けば、わざわざ危ない橋を渡らない、という内部犯行者の微妙な心理が伺える。
したがって、システムログの取得とその定期的な監査といった「監視」の体制を整えておくことには一定の効果があると考えるべきだろう。従業員を信頼するという考え方は尊重したいところだが、それと不正を見抜くこととは別の話だ。
また中長期的には、情報の適切な扱い方に関する教育、啓発も視野に入れておく必要がある。さらに、いったん対策を講じたからといって安心するのではなく、その対策が本当に有効なものかどうか、定期的にチェックするプロセスも必要だ。
先の通信教育大手も、一定水準のセキュリティ対策は講じており、データベースにアクセスできるパソコンにはUSB端末を接続できないようにするソフトを導入していた。しかし、対策導入時には想定していなかったスマートフォンというデバイスが登場したことによって、その対策がかいくぐられた形だ。今後は、クラウドサービス経由で情報を持ち出したり、漏洩してしまうケースも考えられる。せっかく講じている対策を、時代や環境の変化に合わせて手直ししていくことも重要だろう。
マイナンバー制度も動き出す、内部犯行対策はいっそう重要に
2016年1月には「マイナンバー制度」が開始される。逆算すると企業にとって2015年は、システムとプロセス、両面でマイナンバー対応を進めなくてはならない一年ともなる。
マイナンバー対応に際しては、特定個人情報保護委員会の「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に沿って、特定個人情報に対する安全管理義務を講じることが求められる。ハードウェア、ソフトウェア、業務フローを含めた包括的なセキュリティ対策の一環として、内部犯行防止に取り組んでいく必要があるだろう。
