個人情報漏洩対策

企業や組織からの大規模な個人情報漏洩事件が頻繁に起きています。個人情報漏洩が起こってしまった場合の損害賠償額については、一人の個人情報漏洩につき数百円から数万円までありさまざまです。また、個人情報漏洩の影響範囲は経済的な損失だけにとどまらず、企業や組織の信用やイメージを損ない悪影響を及ぼします。個人情報、機密情報の保護は、情報漏洩を防ぐためだけでなく、企業や組織を守ることにつながっています。情報利用者のセキュリティ意識向上、システム的な対応を組み合わせて個人情報漏洩を未然に防ぐ活動が重要です。

関連リンク　なぜ、企業で情報漏洩がなくならないのか？

万が一、個人情報漏洩が発生した場合は経済的な損失だけでなく、社会的な信用も失墜します。
リスクの高い個人情報、機密情報の取り扱いを徹底する情報管理体制が必要です。

情報漏洩した際に企業が抱えるリスク

• 社内の重要情報（製品情報・研究成果等）が競合他社へ流出し優位性を保てなくなる
• 自社顧客の個人情報漏洩により社会的信用を失う
• 個人情報漏洩により社員のデータが外部に漏れてしまうことで、社員の生活の安全を守れない可能性がある
• 漏洩事故を起因とする損害賠償請求が発生した場合、経営負担が大きい（倒産に至る可能性）

2016年の情報漏洩の原因の割合は以下の通りです。

漏えい原因比率（件数）
出典：日本ネットワークセキュリティ協会 2016年個人情報漏えいインシデント概要データ【速報】

1位：管理ミス … 159件（34.0％）
情報漏洩例：個人情報の公開、管理ルールが明確化されておらず、誤って開示してしまった。
対策例：個人情報ファイル操作時の禁止、警告、それらのメッセージ表示による注意喚起

2位：誤操作 … 73件（15.6%）
情報漏洩例：あて先を間違えによって、電子メール・FAX・郵便などの誤送信が発生した。
対策例：メールによる添付ファイルの暗号化

3位：不正アクセス … 68件（14.5%）
情報漏洩例：ネットワークを経由して、アクセス制御を破って侵入され、機密情報が外部へ漏洩した。
対策例：社内重要データのファイル暗号化

4位：紛失・置き忘れ … 61件（13.0%）
情報漏洩例：持ち出し許可を得た情報を、持ち出し先や移動中に置き忘れて紛失した。
対策例：外部記録媒体の制御や、持ち出しファイルの暗号化

5位：不正な情報持ち出し … 32件（6.8%）
情報漏洩例：社員、派遣社員、出入り業者などが自宅利用を目的に情報を持ち出し、持ち出し先で漏洩した。
対策例：外部記録媒体の制御や、持ち出しファイルの暗号化

上記のグラフからわかる通り、企業や自治体での個人情報漏洩の主な原因は、内部不正によるものや、人的ミス、利用者の教育不足によるものなど、多岐に渡ります。

【 背景 】

個人情報保護法が2005年に全面施行されてから近年に至る過程の中で、情報通信技術の目まぐるしい発展とともに、制定当時には想定されなかったいくつかの問題（グレーゾーンの拡大・ビッグデータへの対応・グローバル化）が顕在化するようになりました。
こうした課題の解決およびプライバシー保護に配慮したパーソナルデータの利活用を促進して行くために、個人情報保護法の改正が行われました。

【 改正のポイント 】

1. 個人情報保護委員会の新設
   ・個人情報取扱事業者に対する監督権限を各分野の主務大臣から委員会に一元化
2. 個人情報の定義の明確化
   ・利活用に資するグレーゾーン解消のため、
   　個人情報の定義に身体的特徴等が対象となることを明確化
   ・要配慮個人情報の取得については、原則として本人同意を得ることを義務化
   ・取り扱う個人情報の数が5,000以下である事業者を規制の対象外とする制度を廃止
3. 個人情報の有用性を確保（利活用）するための整備
   ・匿名加工情報の利活用の規定を新設
4. 名簿屋対策
   ・個人データの第三者提供に係る確認記録作成等を義務化
   ・個人情報データベース等を不正な利益を図る目的で第三者に提供し、
   　または盗用する行為を「個人情報データベース提供罪」として処罰の対象とする

【「暗号化」がカギ 】

個人情報保護委員会が発表した、『個人データの漏えい等の事案が発生した場合等の対応について』（平成29年個人情報保護委員会告示第1号）において、以下のケースは情報漏洩事故の報告を要しないとされています。

■実質的に個人データ又は加工方法等情報が外部に漏洩していないと判断される場合
┗漏洩等事案に係る個人データ又は加工方法等情報について高度な暗号化等の秘匿化がされている場合

ステップ1　個人情報、機密情報の棚卸をして重要情報の保管先を把握する

クライアントPC上にある個人情報、機密情報を棚卸

クライアントPCに保存されているファイルの中身をチェックします。個人情報や機密情報に該当するファイルの保持状況をリスト化してリストをベースに、重要な情報が適切に管理されているかの確認をします。

個人情報、機密情報ファイル取得項目

• 対象のマシン
• 検出されたファイル数
• ファイル名
• 個人情報/機密情報/特定個人情報 の区分
• ファイルパス
• ファイルサイズ
• ファイル作成日時
• ファイル更新日時

さらに、個人情報や機密情報を含むファイルとして検出されたファイルに対し、「隔離」、「削除」、「完全削除」などの操作が行えるため、社内のポリシーにあわせた運用が可能です。

ファイルに対して行える操作

• 「隔離」：指定した個人/機密情報ファイルをユーザーからアクセスできない場所に隔離することが可能です。
• 「削除」：指定した個人/機密情報ファイルを削除することができます。
• 「完全削除」：指定した個人/機密情報ファイルを削除すると同時に、ディスク上からデータの痕跡を消し去ることで、復元ツールなどを利用しても該当のファイルを復旧できないようすることが可能です。
• 「対象外」：次回検索時から、個人/機密情報として扱わないようにするファイルを指定することができます。

ステップ2　個人情報、機密情報ファイルの操作を検知して利用者に通知する

個人情報、機密情報ファイル操作時の検知、警告

ファイル操作時にファイルの中身に個人情報、機密情報が含まれていないかをチェックします。個人情報、機密情報が含まれていた場合にはクライアントPCのデスクトップに警告メッセージを表示させて利用者への注意喚起ができます。

利用者に注意喚起を促すことで、個人情報や機密情報が含まれる重要なファイルを操作しているという意識付けを行えるため、セキュリティ意識の向上にもつながります。

ステップ3　個人情報、機密情報ファイルを自動で暗号化する

個人情報、機密情報の棚卸し時に自動でファイルを暗号化して守る

個人情報、機密情報ファイル操作時に自動でファイルを暗号化して守る

AssetView K のファイル暗号化機能と連携することで、利用者が意識しなくても、個人情報、機密情報を含むファイルを自動で暗号化することができるため、セキュリティの強化が行えます。

情報漏洩対策の決定版

「セキュリティパッケージ」は、個人情報漏洩対策に特化した3つのソフト、PC操作ログ管理『AssetView M』、個人情報検索『AssetView I』、デバイス制御『AssetView G』をセットにした、お得なパッケージです。ファイル暗号化『AssetView K』の追加で、さらに高セキュリティな個人情報漏洩対策が可能。

「個人情報漏洩保険」とは？

個人情報の漏洩またはその恐れが発生し、会社等が法律上の損害賠償責任を負担することによって被る損害や、謝罪関連（広告掲載・会見）費用・お詫び状作成費用・見舞金（品）費用・危機管理コンサルティング費用等の事故対応のために支出した費用損害を補償するものです。契約によって、関連会社や業務委託先の会社を対象にすることもできます。
一般的には「賠償責任部分」と「費用損害部分」の2部構成となっていて、保険会社によって異なりますが、それぞれ以下のようなものが対象になります。

■賠償責任部分

■費用損害部分

上記からわかる通り、「個人情報漏洩保険」は損害賠償額、その後の対策費用に関する保険であり、情報漏洩が発生したことに伴う企業の信用失墜や顧客離れ、株価の下落による事業危機に対する補償は対象外です。
個人情報漏洩を防ぐための根本的な対策ではないため、個人情報漏洩の原因を把握し、個人情報漏洩を未然に防ぐ対策を行うことが重要です。