TRAVEL VISION 業界がわかる!日刊トラベルビジョン

(1)
今回から6回に渡って個人情報保護の話題をお話したいと思います。
私はジェイズ・コミュニケーション(株)で情報セキュリティ・コンサルタントを 担当している松崎と申します。
よろしくお願いいたします。
さて、昨年の4月1日に「個人情報の保護に関する法律」が施行されてから1年が経ちました。 この1年間を振り返ってみると、異常に個人情報の漏洩の多かった1年のように感じます。 でも本当にそうだったのでしょうか、何かおかしくはありませんか? 法律も施行され、大手企業は自分たちなりに個人情報保護対策を行い、企業によっては プライバシーマークを取得するなど、以前より個人情報に対する意識も向上してたと考えられませんか? この講座では、今何が起きていて、どう対処したら良いのかを事例を交えてお話したいと考えています。

Winnyによる漏洩事件とその被害の防止策
Winnyによる漏洩事件
最近の話題は何と言ってもWinnyによる個人情報を含む重要な情報の社会への漏洩ではないでしょうか。ご存知とは思いますが、概要を説明します。
Winnyとは、個人同士でお互いの情報を簡単に交換する ためのソフトウェアで、インターネットに接続されている自分のPCにこのソフトウェアをインストールして、 簡単な設定を行えば、同じソフトウェアを使用している誰かが公開している情報を自分のPCにダウンロード できるものです。この時、自分の個人情報を公開する必要はなく適当な名前でやり取りができます。
この匿名性が市販されている音楽CD、映画やドラマなどのDVD、PC用ソフトウェア等をWinny上で公開して お互いに交換することに使用され、著作権を無視した海賊版のCD/DVDと同様に大問題となりました。
そしてこのソフトウェアを開発した元東大の助手は逮捕され裁判で有罪になりました。
ところが問題はこれで終わりではなかったのです。Winnyを狙ったコンピュータウィルスが出てきたのです。
このウィルスに感染したPCでは、PCのハードディスクに格納されている適当なファイルを勝手にWinny上に 公開してしまいます、特に最近のウィルスでは個人情報とか重要情報を選択して公開します。 その結果は皆さんが新聞等でご存知のように、警察、自衛隊、官庁、学校と言ったところの情報から有名企業 の情報までが流出してしまいました。このニュースを知った人がこれらの漏洩情報を見るために、新たにWinnyを PCにインストールすると言った、新たな問題が起きています、そしてこのウィルスは今も姿を変えながら、Winny上で 新たな感染者を生んでいます。
ウィルスチェックのソフトウェアでの対応には限界もあり、多くのPCに感染していると考えられます。

Winnyには、もう一つ特徴があります。匿名性を確保するためにWinny上に公開された情報は、インターネット上 に存在するWinnyユーザーのどこかに特別な形で保存され、誰かが情報をダウンロードするたびに別のPCに コピーされます。このため、一度Winny上に公開すると、全てのWinnyユーザーがWinnyのソフトウェアを 自分のPCから消去しない限り、消える事はありません。実際にはWinnyユーザーが0になるとは思えませんから 半永久的に存在してしまいます。つまり、警察や自衛隊から流出した情報は今現在でもWinnyユーザーならば 見る事が出来てしまいます。最新の例では流出元が不明ですが、12万7千件もの個人情報が流出しています。 これ以外にも、昨年流出した、警察の捜査資料、犯罪被害者の実名リスト、患者の治療記録などを見る事が 出来るのです。
この事は従来の情報流出事件とは大きく異なります。今までであれば流出に気がついた当事者が、 流出先と交渉して流出した情報を回収して事件が終了していました。流出した情報に個人情報が含まれて いても、特定の人にしか暴露されていないことが多かったと言えます。
ところが、一旦Winny上に流出した個人情報は、消すことが出来ずに今後も公開され続けるため、個人情報を 暴露されてしまった本人の情報は不特定多数に公開されたことになります。被害が拡大し続ける訳です。
この事の重大性に対する認識を十分に持たないと、他にどんなに強力な情報漏洩対策を講じたとしても 意味を持たなくなるわけです。
Winny被害を防止する
では、どうすれば漏洩事件を防止出来るでしょうか?
最低限次の事を実施するのが、現在できる対策と考えられます。
(1) 社内の業務用PCにWinnyを入れる事を禁止する(現時点では違法ソフトウェアです)
(2) できれば社員個人の私有PCにもWinnyを入れない
(3) 自宅に個人情報、業務情報を持ち帰らない
(4) Winnyに関する教育を行う


(1)は絶対実施してください、Winnyを業務で使用する必要はないと思いますので直ぐに実施できるはずです。
(2)(3)は努力目標ですが、安全性を優先するのであれば必須です。ただし、(3)が確実に実施できるのであれば (2)は社員に対する教育的対策になります。 (4)は(1)(2)(3)を実施するために必要になります、Winnyの問題点、会社に与える影響、本人の責任等々と 一般的な個人情報保護、情報セキュリティに関して行うとよいでしょう。

Winnyの問題は社会的な問題とも言えますが、情報を扱っている社員が個人情報保護に関する知識を持つことに より、防ぐ事の出来る人的な問題でもあります。

次回は、漏洩事件の流出経路についてお話したいと思います。
 [ 1 ] [ 2 ] [ 3 ] [ 4 ][ 5 ][ 6 ]
copyright