危機管理体制を整えよう! 個人情報漏えい後の対応ガイドラインSecurity&Trust ウォッチ(36)

» 2005年09月28日 10時00分 公開
[上野宣@IT]

 前回のコラム「メールアドレスを漏えいから守る方法」では、メールアドレスという情報の重要性の見直しと漏えいから守る方法について紹介した。しかし、残念ながらどんなに個人情報保護対策を行っていたとしても、漏えいする可能性は0%にはならないものだ。

 日々の対策を実施することも重要であるが、万が一漏えい事件が発生してしまった後の対処方法を知っておき、その状況になったときに確実に対応できるように危機管理体制を整えておくことが重要である。事件後の対処方法次第で個人情報漏えいを起こしてしまった企業のイメージがどれぐらい回復できるかが決まってくる。情報資産の扱いを甘く見てはならない。

 個人情報漏えいが発生した後に正常な状態に復旧するまでの一般的な手順は次のようになる。

(1)リカバー担当の責任者を決定
(2)事件の事実を5W1Hで確認
(3)顧客や取引先に情報公開
(4)漏えい情報の拡散を防ぐ
(5)漏えい原因を究明し再発防止策を実施

 こういった手順と並行して(3)の情報公開を行った辺りから、漏えいしたデータの該当者への賠償や法律的な問題などにも対応しなければならないが、このコラムでは賠償や法律的な問題については触れないものとする。

(0)事件の第一報

 上記の手順に含まれないことであるが、漏えい事件が起こったことに誰かが気が付き、報告があったことで事件の発覚となる。その報告のパターンは主に次の3つがある。

  • 漏えいした本人からの報告
  • 組織内の人間が証拠を発見
  • 外部からの報告

 報告を受けた場合には、上長や個人情報の管理責任者に連絡することとなる。注意しなければならないのは、漏えいした情報がどんなものであっても、情報を漏えいしてしまった本人や報告を受けた人が事件の大小を勝手に判断してはならないということだ。

 例えば、メールアドレスが1件だけ漏えいしたとして、ささいなことだと決めつけて報告を怠ってはならない。また、暗号化されたメディアを紛失した場合などでも、暗号化されているから問題がないと決めつけてはならない。必ず個人情報の管理責任者に報告を行う必要がある。

(1)リカバー担当の責任者を決定

 管理している個人情報の責任者は組織内で決まっていると思う。しかし、その責任者は最高責任者であるため当該の事件の対応に奔走する人物でない場合が多いだろう。ここで決めるのは、今回発生した事件を沈静化し、正常な状態に復旧するために陣頭指揮を執る担当責任者である。その担当責任者がまず行うのは次の事項だ。

  • 漏えい事件の関係者・関係組織の洗い出し

    漏えいした情報にかかわる社内の人物や部署などを洗い出す

  • 対応チームの編成

    洗い出した部署や人物から必要な人材をピックアップし事件解決のためのメンバーを編成する

  • アクションプランの立案

    チームが行わなければならない仕事と担当者、時期などを明確にする

(2)事件の事実を5W1Hで確認

 事件に向かい合うための準備が整ったならば、報告された個人情報漏えい事件の事実を5W1Hで表せるように確認する。ただし、この段階では5W1Hのすべてが明確になるとは限らない。ここで重要なのは、漏えい事件が本当に起きたのかということを確認することである。

  • 何を(What)

    何の情報が漏えいしたのか、その内容や種類と範囲など

  • いつ(When)

    情報が漏えいしたのはいつか

  • どこ(Where)

    どこにあった情報が/どこから情報が漏えいしたのか

  • 誰が(Who)

    誰が漏えいを起こしたのか

  • なぜ(Why)

    何が原因で漏えいしたのか

  • どのようにして、どの程度(How)

    どのような事が起こって、どの程度の情報が漏えいしたのか

 上記のすべての項目を外部に情報公開するか否かは別として、漏えい事件の事実を把握するためにまとめておく必要がある。また、確実な事実のものと、あくまで可能性であるものは、分けて整理すべきである。

(3)顧客や取引先に情報公開

 情報漏えい事件があった旨を、何らかの形で外部に情報公開する必要がある。すべての事実を白日の下にさらすべきだといいたいところであるが、どの辺りまで情報公開するかということは、その組織のトップが決めることだ。

 公開する情報には企業にとって不利益を被るものが多い。そのため、公開する情報は精査するべきである。例えば、サーバへの不正アクセスが情報漏えい事件の原因だった場合には、手口を詳細に公開することが必ずしも良いといえないことは分かるだろう。

 ただし、情報漏えい事件があったという事実をもみ消したり、歪曲したりすることは論外であり、あってはならないことである。この段階で情報公開する目的は、漏えいした個人情報に記載されている人々のために、漏えいの事実を伝えることである。

(4)漏えい情報の拡散を防ぐ

 盗られたものが物品や金銭であった場合には、そのものを取り返せば事態は沈静化する。しかし「情報」が盗まれた場合には、その情報が含まれた媒体を取り戻すだけでは沈静化しないことがある。特にその情報がデータとして存在している場合にはなおさらである。

 漏えいしたタイミングでの情報の形態を、デジタルデータとアナログデータに区別してみよう。デジタルデータは何らかの形式のファイルであることが多く、アナログデータは紙媒体などの印刷物であることが多いだろう。

  • デジタルデータ

 デジタルデータは、コピーを作成しやすく流出を止めにくい。Winnyなどに代表されるPtoPネットワークでデータとして流れてしまうと、回収するのは不可能に近く、漏えいした情報の拡散を防ぐのはほぼ不可能になってしまう。

 その半面、データ自体が暗号化されていたりアクセス制御された環境にある場合には、媒体は盗まれてもデータに含まれる個人情報は悪用されない可能性も高い。

  • アナログデータ

 アナログデータは、媒体を回収すると漏えい情報の流出をそこで止められる可能性は高い。早期に漏えい媒体を回収できれば、個人情報自体も回収できる可能性が高い。しかし、コピーされたり、デジタル化されたりする可能性もあるので、媒体を回収したからといって安心してよいわけではない。

 まず、第一に漏えいした情報や媒体を取り返すことが重要である。しかし、そこで漏えい事件が解決するわけではない。漏えいしてしまった情報は流通し続けている可能性がある。漏えい事件の真の被害者である個人情報の主はいつまでも被害を被り続けるのだ。

 流出してしまった個人情報のその後について触れられることは少ないが、WinnyなどのPtoPネットワークには何年も前に漏えいした個人情報データがいまなお流通しているという事実があることも知っておいていただきたい。個人情報保護法では、こういった流出してしまった後の個人情報についての扱いには触れられていない。

 前回のコラムで紹介した漏えい事件後に漏えいしたメールアドレスを無効化することができるPMXのようなセキュリティ製品もあるので、こういった対策をあらかじめ導入しておくことも、企業のコンプライアンスが重視される昨今には必要なのかもしれない。

(5)漏えい原因を究明し再発防止策を実施

 1度起こったことは、2度でも3度でも起こり得る。漏えい事件が起こってしまった原因を究明し、同じような原因での漏えい事件が起こらないように再発防止策を検討し、早急に実施する必要がある。

 漏えい事件が起こって間もないのであれば、再発防止策に相応のコストが必要だとしても、経営者も予算を割くことだろう。時間がたつほど痛みを忘れて、根拠もなく何とかなるだろうという考えに戻って、元のもくあみになってしまう。そうならないためには、早急にプランを練り、実行に移すことが重要である。

 個人情報が漏えいしないような管理体制を整えることはもちろんであるが、今回紹介したような危機管理体制を整えることも重要であることが分かっていただけたかと思う。しかし、このコラムを読んでいる方々には情報資産を守るために予算を割くべきだということが分かっていても、組織のトップや経営者が理解しないこともあってもどかしく感じることもある。すべての組織のトップや経営者が、情報管理体制や危機管理体制の重要さを知り、適切に投資すべきだと知る日はいつのことだろうか。


Profile

上野 宣(うえの せん)

1975年京都生まれ。情報セキュリティを世に広げるべく、講演や執筆活動とさまざまな方面で活動中。近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。


「SecurityTrust ウォッチ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。