 |
|
|
外注、組織外の人員の出入り情報漏洩のリスクはここにも(2)(2004.12.14)
●外注時の危険にまだまだ無頓着?
TCI以外の3件の事件とも第三者へ渡したデータが漏洩した。カリフォルニア健康・福祉局の事件では、UCバークレー校の学外研究員にデータを渡したこと自体に「正直、驚いている」とIT関連のコンサルティングを行うガートナー社のアビバ・リッタン研究員は話している。「健康・福祉局は、研究員に対し、情報の持ち出しを認めるべきではなかったし、調査を許可するのであれば、自分の施設内、そして安全なコンピュータシステムの下、行うべきだった。」同時に事件により「他にも政府機関から市民の極秘情報が不用意に持ち出されているケースがあるのではないか」と疑問を抱かせることとなった。
情報漏洩事件の発生時に、被害者への通知を義務付けた2003年のカリフォルニア法施行以来、報告される事件の数が非常に増えているが、同様の法律を制定している州は他にはまだない。では、被害者に通知されずに闇に葬られている事件はもっとあるのではないだろうか。
Bank of AmericaとSchools信用組合の事件では、外注先での事件だ。Bank of America については、お粗末きわまりない事件であったが、Schools信用組合のように外注先のコンピュータ盗難事件は、他にもWells Fargoなどで起こっている。
業務の効率化、従業員数を減らしコストを削減するため、業務を外注する傾向は年々強くなるばかりだ。これにより、情報が社外に出て、顧客の個人情報などにアクセスできる人の数が増加している。つまり自社内の限られたスタッフがアクセスできるものであったが、情報が社外に出ることで、さらに他にアクセス可能な人が発生する。結果、情報漏洩の危険は増大しているのだ。
個人情報の重要性に関する企業、政府機関などの意識はまだまだ低いのが現状だ。「個人情報盗難を防ぐ策を講じる費用は、事件が起こって、その処理にかかる費用よりずっと低い」カリフォルニア法制定に尽力したデボラ・ボーエンは語る。そして「(カリフォルニア大学の事件については、)特に州政府機
関で、重要な個人情報をこのように取り扱うことには、怒りさえ覚える」
この3件の事故は、厳密な意味でのハイテク犯罪事故ではない。バークレー校のケースはまず、情報を適切なセキュリティを持たない外部に持ち出したことが問題であったし、郵便物詰め間違いや盗難はいわゆる「ローテク」事件であった。
●外注先決定時のセキュリティ
企業イメージの低下など他の要素を考えても、重要な顧客の個人情報について、まだまだ適切に取り扱いを行っていない企業が多いことには驚く。金融機関に様々な規制、規則に関する情報を提供するバンカーズ・システムズのホームページで、弁護士、ケイティ・イバーソンは、外注相手に対して
1. サービス会社選択時の十分な調査と適正評価
2. 外注先が情報保護のための方策を採用するように要求
3. 顧客情報を保護のため契約に盛り込んだ義務を、会社が適切に守っているか監視
などが必要だと述べている。2.については「機密保持契約」を結ぶことになるが、その際に、ファイアウォールの設定、データ暗号化、データにアクセスできるスタッフの選択、監視など、自社で採っているセキュリティ策を、外注先企業に対し、契約により求めるべきであろう。
【執筆:バンクーバー新報 西川桂子】
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
|
|
    |
|
|