TRAVEL VISION 業界がわかる!日刊トラベルビジョン

(3)
ジェイズ・コミュニケーションの松崎です。
個人情報保護講座第3回は、実際の流出事件をもとに、流出原因とその対策についてお話します。最近の流出事例をみてみると、今までにご紹介したWinnyによる流出、車上荒らしによる盗難、紛失・置き忘れが非常に多いことが分かります。では、それらを引き起こした本当の原因は何だったのか探ってみることにしましょう。
Winnyによる流出の場合、直接の原因がWinnyに感染するウィルスであることは既にお話しましたが、そもそも、何故そのPCに重要な情報が入っていたのでしょうか、それも多くは自宅の個人所有のPCにです。
そこから分かることは、会社の仕事を自宅に持ち帰っているのだろうということです。確かに会社で深夜遅くまで居残るよりも、自宅でゆっくり仕事をしたいという気持ちも分かりますが、それで事件を起こしてしまっては元も子もありません。また、会社にとって重要な情報を、一社員の判断で自宅に持ち帰るというのも非常に危険です。

情報に対する認識

情報に対する認識お客様先でコンサルティングをしていますと、多くの場合、まず最初に判明するのは、扱っている情報の重要性を認識していないという問題です。重要な情報に対して、当初は慎重に扱っていても、日が経つにつれ、作業に慣れるにつれ、それに対する注意は薄れていきます。これは人間の特性であると私は考えます。日々の業務の中で、自由に内容を閲覧出来、自由に内容を変更したり削除したりしている間に、その担当者にとっては、単なるメモ書きと同じ程度という認識となってしまっても不思議ではありません。また、そのような状況では、机の上や社内のいたるところに、重要な情報が散乱していることでしょう。その中に個人情報も含まれています。
読者の皆さんのところでいうと、お客様から預かった申込書や発券のために必要な書類が重要な情報にあたります。
これらの書類がFAXの送信トレイや受信トレイに放置されていたり、コピーミスの用紙がそのまま近くのゴミ箱に捨ててあったりしているのではないでしょうか。

とある地方自治体での話しですが、FAXやコピー機が一般の人も通る通路際に置いてありました。にもかかわらず、FAXのトレイには受信した用紙が沢山残されていました。FAXは職員から遠い位置にあり、着信状況が分かりにくいため、取りにいかなかったのでしょう。また、職員からすれば、毎日の様に送ってこられる誰のものかも分からない書類よりも、自分の業務の方に関心があり、着信の度にわざわざFAXのところまで行って、確認しようと思っていませんでした。
しかし、これでは誰でも自由にFAXの内容を見ることができてしまいます。このままでは問題が起きると考え、この自治体ではその後、FAXとコピー機を職場の中央部に移動しました。これにより一般人がFAXを見ることが出来なくなり、また職員全員から見える場所に設置したため、FAXの受信状況が分かり易くなり用紙が放置されることも減りました。
また、アクセスしやすくなった事で職場の効率も向上すると言った副次的な効果も得られたというわけです。

話を元に戻しますと、情報に対する意識が希薄な状況では、所有している個人情報の管理を行うことなく、安易に持ち出したりします。そうです、流出の真の原因は、Winnyや、感染するウイルスにあるのではなく、流出しては困る情報を安全管理されていない自宅のPCに入れる担当者の意識にあるのです。

個人の認識を変える

個人の認識を変えるそうだとすると、対策としては何を行えば良いでしょうか?
ひとつの解としては、重要な情報を扱っている部署では、その情報を勝手に持ち出せない仕組みを作ること、または、会社内でしかその情報を取り扱えないようにすることが考えられます。
ご存知の方もいっらしゃると思いますが、YahooBBでは個人情報の流出事件発生後(Winnyによる情報流出ではありませんが)会員情報を扱う部署は他と隔離して、その部屋には私物は勿論、PCや可搬媒体(CD、FD、USBメモリー等)の持込を一切禁止しました。その上、業務で使用するPCでは可搬媒体への書き出しが出来ない設定を施しました。情報の閲覧権限を細かく設定し、個人別にアクセスの記録も取っています。ここまで厳重にすれば、社員が事件・事故の当事者となることは少なくなると思いますし、前述の社員の情報に対する意識を維持することも出来ます。

しかし、このような対策を実施するには、経済的に大きな負担がかかります。大企業ならともかく、簡単に出来るものではありませんね。では、他に方法はないのでしょうか。一番無難なのは業務手順を決めてしまうことです。受け取った申込書をどのように処理してどこに保管するのか、入手した航空券は誰が管理するのか、手順通りに行われていることを誰がチェックするのかと言ったことを決めて、徹底することです。非常に面倒です、でもこの面倒な手順が、情報の重要性を認識することを維持することにつながります。さらにこの方法を維持するため、チェックする仕組みも併せて決定します。昔ながらの方法では有りますが、上司の確認印が無いと次のステップに進めないようにするのです。
このことにより重要な情報を管理する仕組みは業務の一部となり、新しい人が入ってきても同じ方法が継承されます。安全管理レベルが設定されたことになります。

時代を逆行するように見えるかもしれませんが、安全性を優先するとこのような仕組みが必要になります。社員の情報に対する認識を向上させるためには、扱っている情報は重要で、簡単に扱うものではないと言ったことを日常の業務の中に表現しないと、社員の皆さんの意識は変わらないと思いますし、その意識を継続させることも難しいと思います。

その他の事例

その他の事例置き忘れや車上荒らしも、同じことだと思いませんか。持ち歩いている情報の重要性を認識していれば、不用意にその場を離れることは少ないと思います。例えば、現金100万円をかばんの中に入れて、外出したとしたら、どういう行動を取るでしょうか。懸命な皆さんはお分かりですよね。会社にとって重要な情報を持ち歩くことは現金を持ち歩くことと同じです。
この事に気付いていれば、その他の事件・事故の発生を抑制することは可能と考えます。それよりも、現金を持ち歩くことをやめたほうが簡単かもしれません。つまり、個人情報を相手に届ける方法を変えてみるのも一案かと思います。
次回はPCについてお話したいと思います。
1 ] [ 2 ][ 3 ] [ 4 ][ 5 ][ 6 ]
copyright