全社リスクマネジメント、何か参考になる指針は?

pmark-anchor 2009年9月15日 火曜日

 

こんにちは、リスクマネジメントアドバイザーの目木知明です。

朝夕、たいへん涼しくなってきました。秋の気配を少しずつ感じる今日この頃です。

 

さて本日は、これから全社のリスクマネジメントに取り組まれる

企業のご担当者さまからの問い合わせでよくある相談内容です。

 

「体制の構築で何か参考になる指針はありますか?」

 

この内容の相談が多いです現状です。

 

実際に全社のリスクマネジメントといっても、かなり漠然しているものなので

何から手をつけて良いか解らないというのが現状ではないでしょうか!

 

わたくしが全社のリスクマネジメントで基本(ベース)にする考え方は

「JISQ2001 リスクマネジメントシステム構築のための指針」を

基点に体制構築を推し進めています

 

ここで簡単にJISQ2001の内容を説明します。

JISQ2001とは、企業活動上のリスクをコントロールするための指針で

2001年3月に「リスクマネジメント構築の為の指針」として制定されました。

企業の不祥事、災害、メンタル不全、情漏漏洩など

企業・組織・ステークフォルダにとってマイナスの影響を与えるものを

洗い出し(リスクの特定)、顕在化している部分への低減活動および

緊急事態が発生した場合の措置についてPDCAサイクルで定義しています。

 

 

また、この指針は、リスクマネジメントを組織的に実行していくための

枠組み(フレームワーク)を提供するとともに

どのような種類及び規模の組織にも適用できるように作成されています。

 

これから本メルマガにおいてもJISQ2001の解説も行っていきたいと思っています。

是非、これから全社リスクマネジメントに取り組まれる方はJISQ2001をご参考とされてはと思います。

 

本日はこのあたりで。

 

 

何を、どこまで対策すれば良いのか?情報セキュリティリスク管理の最適化

pmark-anchor 2009年9月11日 金曜日

 

何を、どこまで対策すれば良いのか?情報セキュリティリスク管理の最適化

 

個人情報保護アドバイザーの目木知明です。

本日は情報セキュリティコンサルタント 岸本雅美のコラムをお届けします。

 

JISQ15001要求事項では個人情報の取扱い局面に想定されるリスクを洗い出すことが求められる。

一般的にはライフサイクル毎に個々のリスクを特定する作業を進めることになるが

業務が多岐にわたる場合や委託が複数発生する場合は作業手間がかかることになる。

さらにリスクはゼロにならないという前提があるため、リスクに相応した安全管理措置を検討する場合、

当然ながら経済合理性も考慮する必要がある。

また何を残存(残留)リスク又は受容リスクとして管理するかの見極めも必要となる。

そのため“リスクアセスメント結果”に対する“管理策”の妥当性や合理性は判断が難しいところだろう。

「何を、どこまで対策すれば良いのか?」よく聞かれる質問でもある。

 

ひとくちにリスクといっても漏えい、滅失、毀損等だけでなく目的外利用やその結果の本人への影響。

インシデントが発生した場合は、当然ながら会社としての信用失墜による

営業機会の損失や再発防止に向けた投資や損害賠償等、経済的な損失もある。

さらに、過失であれ、確信犯であれ法令違反という事態も考えられるだろう。

つまり、すべてのリスクを捕捉しコントロールすることは容易なことではない。

では、こうしたリスクをいかに管理するのが合理的であろうか。

 

情報セキュリティマネジメントにおいてはCIAという考え方をベースにリスクを数値化するのが一般的であるが

対象が情報資産管理ではなく、個人情報保護の場合には不足が生じる。

これは個人情報となる当該本人の権利利益を保護するという考え方が基本となるからである。

そのため洗い出されたリスクをリスクマトリクスとしてマッピングすると全体像がつかみやすい。

仮に縦軸を影響度、横軸を発生確率とした場合

影響度合いは機密性×件数、発生確率は利用者数×利用頻度といった尺度を考慮すると

おおよそのリスクレベルは把握することができる。

この結果から対応すべきリスクの優先順位付けが可能となるだろう。

 

こうすることで何が見えてくるか。

それはリスクに対する管理策の妥当性、合理性である。

個人情報保護においてはIT対策だけではすべてをカバーできない。

インシデント発生による影響度でみれば情報セキュリティ対策が優先されるべきは周知の事実であるが

一方で、人的ミスや盗難・紛失、不正行為による事件も多発している。

選択された対策がリスクレベルに対して最適な管理策となっているか。

その管理策が実効性をもって機能しているか。

極論すれば、管理策の多重化、高機能化といった見直しも考えられる一方で

過剰対策による運用負担については負荷軽減という見直しもある。

まずはリスク管理状況が適切かどうかを5W2Hという視点で再評価してみることで

次のステップ(スパイアルアップ)へ進むきっかけになるのではと考える。

 

(補足)

「ISO/IEC 27005:2008 情報セキュリティリスクマネジメント」では

国際標準化機構(ISO)と国際電気標準会議(IEC)が新たに策定した

「ISO/IEC 27005:2008」はリスク管理プロセスと情報セキュリティ管理にかかわる作業を規格化し

情報セキュリティリスク管理向けのガイドラインを提示するとともに

ISMS規格の「ISO/IEC 27001:2005」で規定された一般概念を補足している。

このISOの情報セキュリティリスク管理プロセスは、組織全体に適用できる。

組織内の各グループ(例:部門別,所在地別,担当サービス別など)やあらゆる情報システム、

既存または計画中、特定の状況にある体制(例:事業継続計画)に当てはめられる。

 

とある。

 

2009.0911 情報セキュリティコンサルタント 岸本雅美

個人情報の持ち出しが不正競争防止法違反??

pmark-anchor 2009年9月6日 日曜日

 

個人情報の持ち出しが不正競争防止法違反??不正競争防止法って何!!

 

こんにちは、個人情報保護アドバイザーの目木知明です。

まだまだ残暑が残りますね、ここ数日は真夏のような暑さが続いています。

熱射病には気をつけてください。

 

さて、先日、丸三証券元社員ら、顧客情報流出による不正競争防止法違反で逮捕されました。

皆様の中で、不正競争防止法は食品偽装のニュースなどではお馴染みですが、

個人情報の流出で不正競争防止法違反となることについて

ピンと来ていない方も多いのではないでしょうか?

 

本日は、再度この事件の概要と不正競争防止法についておさらいします。

 

 

事件の概要(2009.9.2 産経新聞より)

 

勤務先の証券会社から顧客情報を持ち出し、転職希望先のライバル会社の社員に渡したとして、

大阪府警生活経済課などは1日、不正競争防止法違反(営業秘密の不正取得など)の疑いで、

丸三証券(東京)の大阪支店元社員、橋本杏子容疑者(25)ら3人を逮捕した。

 

ほかに逮捕されたのは、キャピタル・パートナーズ証券(東京)の大阪支店社員、

茂木由暁(45)=堺市南区=と中野春彦(32)の両容疑者。

 

府警によると、橋本容疑者はキャピタル社から内定が出た際、顧客情報の提供を持ちかけられたという。

3人は容疑をおおむね認めている。

逮捕容疑は、橋本容疑者が平成20年7月30日~8月12日、

丸三証券の顧客5人の住所や名前、契約内容を携帯メールなどで茂木、中野両容疑者に漏洩(ろうえい)。

3人は8月上旬、顧客宅を訪問し、キャピタル社の金融商品を勧めたとしている。

 

橋本容疑者は20年7月、丸三証券で同じ部に所属し、19年にキャピタル社に転職した茂木容疑者らに誘われ、

キャピタル社を受験。内定を受けた際、茂木容疑者らから「客を紹介してほしい。

契約が取れたら契約金額の3割を支払う」と依頼され、自分の顧客名簿から計約40人の情報をメモし、伝えていたという。

 

契約していないキャピタル社からの営業を不審に思った顧客が丸三証券に連絡し、

事件が発覚。丸三証券は20年9月に橋本容疑者を懲戒解雇し、今年1月に府警に告訴していた。

 

↓↓↓↓

不正競争防止法って何!! 今から不正競争防止法について解説します。

 

本年、4月に弊社コンサルタントの岸本雅美が不正競争防止法について

コラムをまとめていますので再度掲載いたします。

 

―――――――――――――――――――――――

 

「不正競争防止法の一部を改正する法律案」が成立

 

2009年4月21日、企業の競争力を支える先端技術やノウハウの保護強化を狙いとする改正不正競争防止法が衆院本会議で可決、成立した。

 

改正の背景としては、グローバル化や情報化の進展によって

事業者の経験や知恵の結晶である技術やノウハウ等の営業秘密に対する侵害が容易になり、

企業は大きな損害を被る危険に直面していることがあげられる。

実際、営利や企業への嫌がらせを目的とした営業秘密の開示行為や、

従業員による機密情報の不正な持ち出しなど、

現行制度では対応できない営業秘密の流出事例が相次いでいることも事実である。

 

こうした状況を踏まえ、事業者間の公正な競争を確保し、

事業者間の連携によるイノベーション基盤の整備を通じて、

我が国の産業競争力を維持・強化する観点から、

営業秘密侵害罪の要件を見直すことになったとある。

 

具体的な課題としては

① 「不正の競争の目的」が認められない限り、刑事罰の対象とはならないため、

競業関係にない第三者に営業秘密を開示する行為や、

単に保有者に損害を加える目的で公衆に開示する行為などが処罰できない。

 

②盗まれた情報の「使用・開示」は、侵害者や競争相手の企業内、

あるいは海外で行われるため、その立証は困難を極め、法律が十分な抑止を果たしていない。

などが考えられる。

 

改正された不正競争防止法では

(1)営業秘密侵害罪における現行の目的要件である「不正の競争の目的」を改め、

「不正の利益を得る目的」又は「保有者に損害を与える目的」とする。

 

(2)原則として「使用・開示」行為を処罰の対象としている営業秘密侵害罪の行為態様を改め、

営業秘密の管理に係る任務を負う者がその任務に背いて営業秘密を記録した媒体等を横領する行為、

無断で複製する行為等について、処罰の対象とする。

 

つまり、不正競争目的以外であっても罰則の対象となること、

また営業秘密を記録した記憶媒体の横領、無断複製も罰則の対象となった。

 

当然、営業秘密としての非公知性、有用性はもとより秘密管理性が

確保されていることが条件であることに変わりはない。

改正法の施行は平成22年中になる見通しだが、

これにより不正競争防止法のカバーする範囲が明確になり、

抑止力としても効果を発揮することが期待できる。

 

個人情報保護においては保有する個人データが“営業秘密”に該当する可能性が高いため

同法の理解を深めることも有効な保護対策となる。

長年、Pマークの個人情報保護教育において同法の解説を行ってきたが、

今回の法改正により個人情報を取り扱う上での役割、権限及び責任が一層明確になったことは

望ましいと考える。

同法違反となれば1000万円以下の罰金、10年以下の懲役あるいは両罰の適用もある。

つまり、個人情報の不正取得や不正開示は多少のお金を手にできても“割に合わない”のである。

 

―――――――――――――――――――――――

 

本日はこのあたりで。

 

2009.0906 目木

リスク戦略、「リスク低減」「リスク回避」「リスク移転」「リスク保有」

pmark-anchor 2009年9月1日 火曜日

 

こんにちは、リスクマネジメントアドバイザーの目木知明です。

今日から9月です、急に涼しくなってきました。

季節の変わり目は風邪を引き易いですが気をつけてください。

こうコメントしている私ですが、本日少し鼻声です。。。

 

さてさて、本題にはいります。

本日は、リスクマネジメントを行う上で、「リンク戦略」が大変重要になります。

 

まず、リスク戦略とは、これから対策に取り組むべきリスクを選定した後、

選定された個々のリスクについて今後の戦略を検討する必要があります。

この戦略こそがリスク戦略であり、洗い出した個々のリスクについて

現在の状況(発生確率、影響度等)を分析し、その結果を踏まえて

当該リスクに対してとるべき戦略を決定することを言います。

 

企業がとるべきリスク戦略には、

「リスク低減」、「リスク回避」、「リスク移転」、「リスク保有」があります。

下記、リスク戦略の内容についてまとめます。

 

・リスク低減とは

特定のリスクに関する確からしさもしくは発生確率、好ましくない結果

又はその両者を低減する行為。

すなわち、リスクの発生頻度を低減させる「リスクの予防・防止」、

影響度を低減する「リスクの軽減」の観点からリスクをコントロールするものです。

リスク低減はリスク戦略の中で最も多く採用される戦略で、

企業が自ら積極的にリスクを低減させる戦略です。

 

・リスク回避とは

リスクのある状況に巻き込まれないようにする意思決定又はリスクのある状況から撤退する行動。

つまり、リスクを伴う業務をすべて中止するということです。

リスク回避戦略により、リスクはゼロとなります。

リスクをゼロにすることは究極的なリスク戦略ですが、同時に得られるリターンもゼロになる点に注意が必要です。

企業が営利を目的として設立されている以上、リスクを回避することで営利活動を阻害してしまう恐れがあります。

 

・リスク移転とは

特定のリスクに関する損失の負担を他者と分担すること。

リスク移転は保険や契約によって行われる場合が多いようです。

例えば、リスクの顕在化により被ることが予想される損害額を算出し、

その金額と同等の保険をかけるという対応は、保険会社へのリスク移転を意味します。

 

・リスク保有とは

特定のリスクに関する損失の負担の享受。

ここで注意したいのは、リスクを享受することもリスク戦略となることです。

つまり、リスクの発生頻度が低く、影響度が小さなリスクについては、

何がなんでもリスク対策を講じる必要はないということです。

そのようなリスクについては、あらかじめリスクを保有することを宣言し、

無駄なコストは発生させないことが費用対効果の観点からも有用となります。

 

下記に、リスク戦略のイメージ図を表現してみました。

今後の統合的な事業リスクマネジメントのご参考にしてください。

 

 

本日はこのあたりで。

JIS要求事項:3.7.1 運用の確認 どれくらいの頻度で実施すればいいの?

pmark-anchor 2009年8月28日 金曜日

 

こんにちは、個人情報保護アドバイザーの目木知明です。

 

高校野球の終わりと同時に急に涼しくなってきました。

 

先日は、わたくしのクライアント様が

高校野球の決勝戦が是非見たい!ということで

一緒に球場観戦していたのですが、すごい試合に遭遇しました!

9回表2アウトから6点差を追う日本文理は驚異的な粘りで

1点差の10-9まで追い上げる熱戦でした、

 

何事も最後まで諦めてはいけない!

と云う事を改めて感じさせてもらいました。

高校球児に感謝です。

 

さてさて、本題にはいります。

 

最近、プライバシーマークの担当者が

新規申請の時から見て、変更されている企業が多い状況です。

 

今後、このコラムにおいて

よくある質問と回答を一問一答シリーズとして

お伝えしていきたいと思っています。

是非、今後の取組みの参考にしてください。

 

●本日の質問

JIS要求事項:3.7.1 運用の確認

全部門、同じ頻度で点検を行わなければならないの?どれくらいの頻度で実施すればいいの?

 

事例を含めた、わたくしの考え方です。

 

特定した個人情報の重要性単位で運用確認の頻度を行うことがベストと考えています。

例えば、受託で個人情報の処理を行っている企業で、クライアントから支給された個人情報が

もっとも重要な個人情報のため、毎月運用の確認を行っている企業もあります。

 

この企業の場合、受託処理する以外の部署は3ヶ月単位での点検となっています。

個人情報の重要性、漏洩などの問題発生時の経営ダメージと合わせ(損失の把握)

運用確認の頻度を定められることが良いかと思います。

 

今後も、一問一答をお届けしますので

PMSの運用の参考となればと考えます。

 

本日はこのあたりで。

 

2009.0828

個人情報保護アドバイザー 目木知明

 

更新への不安。問題は言うまでもなく、その”不安”の中身である。

pmark-anchor 2009年8月18日 火曜日

 

本日は情報セキュリティコンサルタント 岸本雅美のコラムをお届けします。

 

「プライバシーマーク更新への不安。問題は言うまでもなく、その”不安”の中身である。」

 

新JIS移行後、初めての更新を控えとき、その準備に”不安”はつきものであるが

問題は言うまでもなくその”不安”の中身である。

 

JISQ15001:2006の要求事項は多岐に亘るため

PMS(個人情報保護マネジメントシステム)の運用レベルに

かなりのバラツキが見受けられる。

 

特にマネジメントシステムの運用が”属人的”になっている場合

組織としての取り組みが不十分というケースがある。

 

マネジメントシステムの構築時にはプロジェクトメンバーが中心となって作業を進めるため

その中核組織である個人情報保護委員会にノウハウが蓄積され

PDCAは一定レベルで有効に機能している。

 

しかし、時間と伴にメンバーの意識も低下する傾向があるのではと感じる。

また事業や組織の変化により担当者が入れ替わったりすると

これまで”属人的”に支えてきたノウハウまでが失われ

最悪の場合、組織としての取り組みに機能不全を起こす。

 

しかし、こうした結果は事前に予測できる範囲であり

“マネジメントシステムの形骸化”というリスクを

いかに回避するかという意味での見直しもできたはずである。

 

が、現実は担当者に過度の負担を強いながら

更新準備(辻褄合わせ)が進められるというケースも少なくない。

 

まずは現状をしっかり把握することが必要である。

更新はあくまで通過点でありゴールではない。

 

見直しは組織的な取り組みでなければ意味が無く

PMSの変化情報(リスク、管理策、文書、エビデンス等)を全社から吸い上げ

 

PMSが自社の実態に最適化されているかについて再評価が必要となる。

PDCAサイクルにおいては特にACT(見直し・改善)フェーズが重要であろう。

 

当然、その有効性評価も必要となる。

 

PMSはトップダウンのマネジメント事項である。

また会社にとって有用な財産であり、リスクマネジメントの一環として

効率的に、かつ効果的に最適化していくことは

経営品質を高め、信頼性のバックボーンとなり得る。

 

プライバシーマーク更新という通過点に再認識すべきは

書類作りではなく積極的な経営関与であり組織関与であると考える。

 

2009.0818 情報セキュリティコンサルタント 岸本雅美

 

構築、運用のキーマン!貴社にリスクマネージャーはいますか?

pmark-anchor 2009年8月17日 月曜日

 

こんにちは、リスクマネジメントアドバイザーの目木知明です。

今年はお盆からカンカン照りが続きましたね。熱中症にはご注意くださいませ。

 

さて、本日はリスクマネジメント体制構築の組織作りについてお伝えしたいと思います。

 

全社統合的なリスクマネジメント体制をシステムとして運用するためには

まずそのための組織体制を整える必要があります。

 

体制は、一般的には経営トップ(経営会議メンバー及び取締役会メンバーを指す)の中から、

CRO(Chief Risk officer)が選任され、CROを委員長とするリスクマネジメント委員会を設置します。

 

この委員会は全社のリスクマネジメントに関する承認、諮問機関として

各部門や部署のリスクマネジメントを統括します。

また委員会の事務局として、実務面の統括機能を果たすのが「リスク管理部署」です。

そして「リスク管理部署」に所属するリスクマネージャーが

全社のリスクマネジメント体制の“キーマン”になります。

 

リスクマネジメント活動そのものを実施する主体はあくまでも各部門や部署であり、

「リスク管理部署」や「リスクマネジメント委員会」は

全社のリスクマネジメントの推進及び統括の役割を担います。

 

リスクマネージャーが委員会や推進の中心となりますので

全社のリスクを、全て把握・コントロールする指揮者表現しても良いでしょう!

 

最後に、全社システムのフレームワーク、体制を整えることによって

全社のリスクマネジメントを統括する仕組みができたことを社内外に明確に示すことが可能になります。

 

特にリスクマネジメントシステムの体制を整えることは、

社外(ステークホルダー)に対するアピールという意味でも重要です。

 

下記はリスクマネジント体制組織図の一例です。

ご参考にしてください。

http://www.risken.net/erm08.asp

 

本日はこのあたりで。

情報セキュリティの不備と会社役員の責任

pmark-anchor 2009年8月10日 月曜日

 

本日は情報セキュリティコンサルタントの岸本雅美がお届けします。

 

情報セキュリティの不備と会社役員の責任

 

一連の情報漏えい事故を振り返ってみると

相変わらず情報セキュリティに起因するものが多い。

事故件数でみれば人的ミス(ヒューマンエラー等)が多くを占めるが

流出した場合の個人情報の件数となると

電子情報の場合が圧倒的であり、影響もまた甚大である。

つまり情報セキュリティに係わるリスク対策が

最優先事項のひとつであることは事故結果をみても明らかだ。

しかし現状は、この情報セキュリティの不備の間隙を狙って

情報は持ち出され、流出し、被害を発生させている。

 

経済産業省の『情報セキュリティ関連法令の要求事項集(平成21年6月)』では

この問題について経営責任という視点で法律との関連性を解説している。

 

「情報セキュリティに関する体制が不備であるため、情報の漏えい、改ざん又は

滅失(消失)若しくは毀損(破壊)によって会社又は第三者に損害が生じた場合、

会社の役員(取締役・監査役等)は、どのような責任を問われ得るか」

 

という点については以下のような考え方を示している。

 

―――――――――――――――――――――――――――――――――

取締役会が決定した情報セキュリティ体制が、当該会社の規模や業務内容に

かんがみて適切でなかったため、情報の漏えい等により会社に損害が生じた

場合、体制の決定に関与した取締役は、会社に対して、任務懈怠(けたい)

に基づく損害賠償責任(会社法第423条第1項)を問われ得る。

また、決定された情報セキュリティ体制自体は適切なものであったとしても、

その体制が実際には定められたとおりに運用されておらず、取締役(・監査

役)がそれを知り、又は注意すれば知ることができたにも関わらず、長期間

放置しているような場合も同様である。

個人情報の漏えい等によって第三者が損害を被ったような場合、取締役・監

査役に任務懈怠につき悪意・重過失があるときは、第三者に対しても損害賠

償責任を負う。

―――――――――――――――――――――――――――――――――

 

説明としては

 

―――――――――――――――――――――――――――――――――

・取締役は、内部統制システムの構築義務の一環として、情報セキュリティ

体制を構築する義務を負うと解される。

・取締役会で決議された内部統制システムが、当該会社の規模や業務内容に

鑑みて、株式会社の業務の適正を確保するために不十分であった場合には、

その体制の決定に関与した取締役は、善管注意義務(会社法第330条・民法

第644条)違反に基づく任務懈怠(けたい)責任(会社法第423条1項)を

問われ得る。

・内部統制システムは適切なものであったが、その内部統制システムが実際

には遵守されておらず、取締役(・監査役)がそれを知り、又は注意すれば

知ることができたにも関わらず、それを長期間放置しているような場合にも、

善管注意義務違反に基づく任務懈怠責任を問われ得る。

・情報セキュリティ体制の構築又はその運用に欠陥があり、情報の漏えい等に

よって会社に損害が生じたときは、取締役(・監査役)は、以上の理由に基

づき、責任を負うことがあり得る。

―――――――――――――――――――――――――――――――――

 

また取締役(・監査役)が、悪意・重過失により、適切な情報セキュリティ体制を

構築せず、又は体制が適切に運用されていないのにこれを是正するのを怠った

場合に、個人情報の漏えい等によって第三者が損害を被ったときは、取締役

(・監査役)は、当該第三者に対しても責任を問われ得るとある。

 

これらは情報セキュリティリスクと経営責任を明確に示した一例であるが

コンプライアンス経営が強く求められる昨今において

また情報セキュリティガバナンスの効率性や有効性を高める意味においても

『情報セキュリティ関連法令の要求事項集』は極めて有用な資料と考える。

 

2009.08.10 岸本雅美

 

アクセス権限を有するユーザーの管理について

pmark-anchor 2009年8月6日 木曜日

 

先日、このような事件があった。

住友生命、従業員1652人分の個人情報がWinny流出

 

住友生命保険は29日、退職者を含む同社従業員の個人情報が

ファイル交換ソフト「Winny」のネットワーク上に流出したと発表した。

従業員のPCがウイルスに感染したことが原因。

 

流出したのは、2005年9月から2009年6月までに

同社横浜支社に在籍していた1652人の

氏名、生年月日、性別、所属、入退社年月日など。

 

該当者には個別に事情説明とお詫びをするとしている。

なお、顧客情報は一切流出していないという。

 

住友生命保険によれば、流出元となった従業員は

業務資料を作成するために、これらの情報を自宅のPCに保存。

その後、Winnyを介してウイルスに感染した。

同社は社内情報を社外に持ち出すことを禁止していた。

 

とコメントしている。

 

この事件について考察してみたい。

 

そもそも従業者1652名分の個人情報を取得できる立場は

アクセス権限管理上ではサーバやデータベースへアクセスすることを

許可された正規ユーザーであったのではと考える。

 

業務処理を行うための正規ユーザーでなければ、

個人情報の固まりへはアクセスできないハズである。

 

コメントでは、社内情報を社外に持ち出すことを禁止(内部規程に明文化)していたとあるが

おそらく日常業務が忙しく、週末などで自宅で作業を行おうと思い、

電子メールやUSBメモリ等で持ち出したのでは・・・と考える。

 

本来の管理は、定期的な点検で

メールログやUSBログについて確認し不適切な行為がないか

チェックする体制が必要である。

 

しかし、できていなかった・・・

おそらく、権限を与えられた管理者(者)だから、大丈夫だろう!

と点検が疎かになっていたのではないだろうか。

 

多くの企業で処理についてログを取得しているが

その作業内容が適正か不適正かを点検することが

実施出来ているのだろうか?

 

できていない場合、管理者(例えば情報システム管理者など)が寝返れば

個人情報の漏洩はたやすくできてしまう!とも言い換えられる。

 

特に、情報システム管理責任者の作業内容、

データベースにアクセスし大量の個人情報を操作できる者の行為については

上席のものが作業を行っている企業が多いが、

作業(行為)の点検は不可欠である。

点検機能が無い場合、管理者が寝返れば終わりである。

 

アクセス管理、アクセスログの取得、点検は

個人情報管理の中枢的な役割であるが、

対外的に十分点検できているとコメントできる企業は何社あるのだろうか。

 

本日はこのあたりで。

 

不祥事の連鎖

pmark-anchor 2009年8月1日 土曜日

 

本日は情報セキュリティコンサルタントの岸本雅美がお届けします。

 

不祥事の連鎖

 

金融機関からの情報流出が止まらない。

さらに、2次被害の発生・拡散は社会的な信用不安に繋がるため

最優先すべきリスクマネジメント事項であることは言うまでもない。

では何故こうした事件が無くならないのかという疑問に突き当たる。

 

リスクマネジメント視点で見れば

予見されるリスクに対しては、その影響度や発生の可能性を考慮した

リスクの回避、低減、移転あるいは受容という対策が一般的だ。

多くの場合はリスク低減措置に力点が置かれれるが

リスクがゼロになることはない。

想定されるリスクの規模に相応した管理策が選択され

かつ、その有効性がしっかりと検証されているかがポイントとなる。

 

クライシスマネジメント(危機管理)視点で見れば

顕在化したリスク(情報漏えい)に対して

被害の極小化が大きなテーマとなるが

クレジットカード情報の流出による不正使用の被害は最悪のケースである。

さらにA社Webサイトにはクレジットカード情報に関する

便乗詐欺の注意喚起がされている状況だ。

このままでは事態の収束まで相当の時間を要するだろう。

 

今回の事件は情報漏えいだけにとどまらず

2次被害の発生という最悪のシナリオが進行している。

オンラインでの保険契約者のクレジットカード情報が流出したことは

多くのネット利用者に衝撃を与えている。

まだ流出経路についての原因究明は継続中ではあるが

顧客情報のテストデータが流出した可能性との報道もある。

となればテストデータが“実データ”だったことになる。

 

いずれにせよ金融機関からの情報流出はあってはならない事態だ。

「信用」「信頼」に裏打ちされてこそ成り立つサービスであり

その前提条件が崩れることは会社の存続そのものをを脅かす。

リスク予見とリスクに見合う管理策の選択が適切であったか。

また、リスクが顕在化した際の“顧客利益の保護”は最善であったか。

仮に内部不正による情報流出の場合であれば

オペレーショナル・リスク管理の有効性は担保されていたのか等々。

“範”となるべき業界としての真摯な対応を期待したい。

 

2009.08.01 岸本雅美