Avatar

年金機構 個人情報流出事件:再発を防ぐ情報基盤とは?

By: AvePoint

 

相次ぐ情報流出事故。組織で機密・個人情報を管理する体制そのものに問題があるのではないか?

相次ぐ情報流出事故、広がる波紋

日本年金機構が 6 月 1 日に発表した年金情報の流出は、約 101 万件の情報が被害を受ける大規模事件であったことが明らかになり、国民に不安と衝撃を与えました。また、その後も早稲田大学で延べ 3000 件余りの学生・教職員情報が流出、東京商工会議所でもセミナー参加者の個人情報が 1万件強流出したことが報じられ、波紋を呼んでいます。

どの事件も大きく報道され、被害状況の調査などインシデントそのものへの対応で発生するコストはもちろんのこと、今後発生する可能性のある補償や過料、そして社会からの信頼失墜など、各組織にこのインシデントが与えたマイナス影響は計り知れないものがあります。マイナンバー制の実施まで 1 年を切った現在、自組織の情報管理体制に不安を覚えられ、より情報管理・保護体制を強化したいとお考えの方も多いのではないでしょうか。

報道によると、日本年金機構・早稲田大学・東京商工会議所とも、メールの添付ファイルから職員の PC がウィルスに感染したことが原因で情報流出が発生しています。しかし、ここまでの大規模被害に発展してしまった背景には、情報流出が起こる 「前」 の問題、つまり組織で機密・個人情報を管理する体制そのものの問題も寄与している側面があることも、組織の情報管理を考えるうえで考慮すべきポイントです。

例えば日本年金機構では、本来ならば基幹システムで管理される性質の個人情報の書かれたファイルが、セキュリティの弱いファイル共有サーバーに移されていたことが、情報流出の原因となったと報道されています。さらに、流出した情報のうち、45 万人分の情報が入ったファイルにはパスワード保護などが行われておらず、被害の拡大につながりました。加えて、パスワードの設定に関する内部規定は存在していたものの、実際の設定は職員に任されており、チェック体制が不十分であったとの分析もあります。これらの状況を総合して考えると、攻撃を受けた際に簡単にアクセスできる場所に個人情報が存在していたことが、被害の拡大につながったとも考えられます。

個人情報流出の防止策は

このような事態を防止するために重視されるのが、個人情報に接する立場の職員に対する啓発教育・注意喚起です。確かに 「強力なパスワードを設定する」「個人情報を誰でもアクセスできる場所に移動させない」 などは、機密・個人情報を扱う人員すべてに対して徹底して周知すべき点です。しかし、サイバー犯罪は日々巧妙化しており、啓発教育が追いつかいない・全職員に対して高レベルの IT リテラシーを期待できない組織が存在することも考えられます。

堅牢な情報基盤のかなめ、GRC

では、情報流出事故を防ぐため、組織はどのような環境を構築すべきなのでしょうか。鍵となるのは、機密情報の置き場所である情報基盤にGRC (ガバナンス・リスク管理・コンプライアンス) を織り込むことです。

GRCとは次の3本柱で構成されています。
・組織内ルールの遵守が徹底されることを保証するガバナンス
・運営上のリスク マネジメントを行うリスク管理
・内部監査などを通じて上記二者が機能していることを証明するコンプライアンス

この GRC を組織の情報基盤のバックボーンとして取り入れることにより、機密情報も含めた多様な情報が混在する環境内に秩序がもたらされ、「適切な情報が適切な場所で適切に管理される」 情報基盤が成立します。そして、このような情報基盤の実現のために作られたのが、AvePoint の Compliance Guardian (コンプライアンス・ガーディアン) です。

Compliance Guardian とは

Compliance Guardian は、データ損失防止 (DLP) およびガバナンス・リスク管理・コンプライアンス(GRC) の両機能を備えた総合プラットフォーム製品です。組織の情報ゲートウェイ全般をカバーし、組織が持つ機密情報・個人情報をしっかりと保護します。以下に、主要な特長をご紹介します。

• データ漏洩検知: インシデントに関連するステータスおよびリスク レベルを一括モニターし、組織のニーズに応じた対応優先度を算出します。また、トレンド レポートと詳細な時系列的分析を活用することにより、インシデントの追跡・管理をより効果的に実行することが可能になります。
• ダークデータ対策: 拡張可能な API で、IT 環境に存在するダーク データを掘り起こします。Compliance Guardian のデータ リポジトリ スキャンでは、ファイルシェア・データベース・Web サイト・Web アプリケーション・Web ベース システム・SharePoint・クラウド・ソーシャル (Yammer および Lync) など、数多くの種類の環境を対象にスキャンを実行することができます。
• データ分類: データがどのような場所に存在するか、あるいはドキュメントのリスク度はどの程度かなどまで考慮に入れて実行できるレポート作成機能と分類機能で、法律や条例で取扱い方法の定められたデータや個人情報をリークや誤用から守ります。さらに、レポート作成と分類はリアルタイムでも、スケジュールを組んで実行することも可能です。最新バージョンの Compliance Guardian には、ドキュメント内に保存されているコンテンツまたはファイルを検索条件として使用し、同一または類似した情報を含む別のドキュメントまたはファイルを検索することができる 「フィンガープリント」 機能が搭載されました。

AvePoint Compliance Guardian に関する詳細 はこちら
更なる詳細情報を知りたい、個別のケースについて相談したいという方はこちらのフォームより 営業までお問い合わせ ください。