SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

巨額の罰金か、それともデータの暗号化か

この記事をシェア

個人情報の漏えいはサイバー犯罪者の仕業だけでなく、紛失や盗難などユーザー側のちょっとした不注意からも起こり得る。例えば英国では、こうした被害を起こした側に対して法的に厳しい罰則を設けているが、そればかりでなく、漏えい対策としてデータの暗号化を強く推奨している。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を基に、日本向けの解説を加えて編集したものである。

計巨額の罰金か、それともデータの暗号化か

英国には個人情報の保護を管轄する政府機関として「ICO」(情報コミッショナー事務局)という組織がある。ここは、2011年に起こったソニーPSNの個人情報漏えい事件に対して、2013年にデータ保護法に基づいて約3,500万円の罰金支払いを命じたところだ。このICOが2016年4月、暗号化のベストプラクティスのための助言書を公表した。データの暗号化は英国の法律では定められていないものの、ICOは個人データを取り扱う組織に対して、助言書を参考にするよう強く推奨している。

「最近では、個人データが流出する情報セキュリティ事故が無数に発生している。盗み出されたり、なくしてしまったり、不正なアクセスによってである」とICOの助言書では述べられている。

多くの場合、データの保護が不十分であったり、不適切な場所に保存されたままになっていたりする。あるいは、幾つかのケースでは、その両方に該当する。「データが流出したり、暗号化ソフトウェアがデータ保護のために使われていない現状が続くようであれば、もっと厳しい執行措置が推し進められるかもしれない」とICOは見解をまとめている。

暗号化されていないデータを含むリムーバブルメディアの紛失の事例の中には、特殊教育が必要な数百人の子供たちに関わるものや、養護を必要とする子供たちに関わる1,000人以上の個人データも含まれる。また、重大な組織犯罪の捜査や情報、証拠へのリンクなども含まれる。

加えて、ICOの助言書は、金融サービス会社が起こした事例にも注意を喚起している。これは、50万人以上の顧客データを含んでいた2つのバックアップディスクの管理が不適切だった。また同様に、スコットランドの地方自治体の事例も取り上げている。こちらは、2万人以上の個人情報を保存していた2台のラップトップコンピューターの放置が原因だった。いずれの場合もデータは暗号化されていなかった。

1998年に制定された英国の個人データ保護法は、データ保護条例に由来し、EUのプライバシー法と密接に関連しているため、個人情報を扱う企業に対して妥当なセキュリティの維持に努めるなど、適切な取り扱いを義務付けている。この中にある第7原則では「無権限のまたは違法な個人データの処理を防止するために適切な技術的、組織的措置がとられなければならない。および、個人データの不慮の喪失、破壊ならびに損壊の防止のために、適切な技術的、組織的措置がとられなければならない」と書かれている。

ICOはプライバシーのリスクを特定し評価するために、プライバシー影響評価を行うよう推奨している。もちろん、ほかの技術的、また組織的な情報セキュリティについても同様に重要ではあるが、データの暗号化こそ、最短の情報漏えい対策であることは間違いない。例えば「DESlock Plus Pro」のような、さまざまなシーンで情報資産を守ることができるデータ暗号化ソフトの利用が勧められる。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!