弁護士法人心の鳥光でございます。
本格的に暑くなる時期が迫って参りました。
体調管理には気を付けたいところです。
今回は、前回に引き続き、情報セキュリティのお話です。
1 システム分野における情報漏洩のイメージ
情報を外部から盗み出すというと、どのようなイメージを持たれますでしょうか。
高度な技術を持ちながらも、これを悪用する人が、日夜黒い画面(CUI)に複雑なコマンドを入力し続け、企業等のシステムに侵入して情報を抜き出す、という場面を想像するかもしれません。
あるいは、何万行ものプログラムで構成されたコンピューターウィルス(マルウェア)を作成し、ネットワークに載せて流すことで、コンピューターウィルスに感染したシステムから情報を流させるというイメージもあるかもしれません。
もちろん、これは間違いではないです。
実際、このような形でデータが流出することもあります。
(企業のウェブシステムのアウトサイドファイアウォールのログなどを見ると、毎秒のようにポート番号をスキャンされていたりします)
このような攻撃に対する対応はもちろん大切ですが、これはシステム技術者に任せるしかありません。
情報漏洩対策は、上記のような高度な技術を持った攻撃に対するものだけでは足りません。
むしろ、もっと身近な場所で、原始的な手法によって発生する情報漏洩の方が多く、これに対する対応の方が重要です。
そしてこれは、システム技術者はもちろんですが、事業に携わる方全てが行わなければなりません。
2 原始的な原因による情報漏洩
先に例を列挙すれば、パスワードの盗み見・盗み聞き、書類の持ち出し・スマホでの撮影、メール・FAXの誤送信、USBメモリによるデータの抜き出しなどが挙げられます。
これらは、いずれも特殊な技術は要りません。
システム技術者でなくても、誰でもできてしまう(起こってしまう)ことです。
私の知っている事務所では、辞めた従業員が夜中に顧客ファイルをごっそり運び出し、そのまま連絡が取れなくなったいうこともありました。
従業員の出入りの管理や、鍵の回収等、システムとは全く無関係な、原始的な対策をしっかり行わないと、このような形で情報セキュリティが保てなくなります。
情報漏洩の多くは、内部の者(内部に出入りする者含む)による、意図的な持ち出しか、または過失による流出です。
意図的な持ち出しは論外ですが、過失による情報漏洩は、起こしてしまった当の本人も、深刻な精神的ダメージ(場合によっては損害賠償責任)を負います。
そのため、仕組みでもって、原始的なセキュリティ事故が起こらないようにすることが大切です。
