このところ個人情報漏洩を伝えるニュースが絶えない。
 私は会社で情報管理の仕事に携わっているので、人一倍気になってしまう。

 先日も大日本印刷が業務委託で預かっていた個人情報863万件以上が、不正に持ち出されたことが明らかとなった(2007年3月に大日本印刷が公表)。

 情報は同社の業務委託先会社の元社員が持ち出し、インターネット通販詐欺グループなどに売り渡されて悪用された。これにより49名、667万円以上の被害が発生した。

 ここ数年、社員が会社のパソコンを個人使用し、ウィニーによって情報が漏洩する事件が数多く発生していた。今回のケースは、元社員が悪意により意図的に盗んだことが特徴だ。

<プライバシーマークでも情報は漏れた>

 情報を盗まれた大日本印刷では、プライバシーマーク(Pマーク)の取得のほか、電算処理室への監視カメラ導入、生体認証による入退室管理の導入、アクセスログの取得など、様々な情報漏洩対策を講じていた。にも関わらず、内部の犯罪を防ぐことができなかった。

 プライバシーマークは、JIPDEC(日本情報処理開発協会)が「個人情報を適切に扱う企業」だと認定すれば発行される。金融機関、電話会社や自治体などが、宛名印刷などの個人情報を取り扱う業務を外部委託する際、委託先選定の条件にPマーク取得を設定している場合が多い。

 今回大日本印刷から持ち出された個人情報には、アメリカンホーム保険などが委託した情報が多く含まれていた。これらの企業は、大日本印刷がPマークを取得していたから委託したのだろう。しかし、情報は漏れてしまった。

 仕事柄こんなニュースを見ながら、情報漏洩を防ぐ具体的な方法はないかと考えていた。その矢先、私の会社はISO27001の取得に向けて動き出した。

 ISO(国際標準化機構)と言えば品質マネジメントシステムの9001や、環境マネジメントシステムの14001が有名だ。それに比して、ISO27001は知らない人が多いのではないだろうか。

 ISO27001は、個人情報や企業情報を守る情報セキュリティマネジメントの世界基準として規格化されている。日本ではまだまだ知名度が低く、今年4月24日のJIPDEC発表によると、現在は2140社が認定されているだけだ。ISO9001の5万3771件(世界第3位)やISO14001の2万3466件(世界第1位)に比べると明らかに少ない。

 ISO27001では、個人や企業の情報流出を防ぐ個別の技術的対策だけではなく、システムがきちんと運用されているかが問題となる。つまり組織のマネジメントを審査するわけだ。


<適切な情報管理は企業価値を高める>

 私の会社がISO27001に注目した理由は、特許取得を重要視しているからである。特許はアメリカ以外では先願主義となっており、先に開発しても特許出願で遅れをとれば自社の特許にはならない。

 特許取得の最大の問題は、開発のベースとなる様々なデータを揃え、誰もが利用できるように整備しなければならないことだ。つまり特許出願を準備する段階で、膨大なデータを蓄積していくのである。

 万一こうしたデータが流出すれば、他社に先を越されることにもなりかねない。そもそも何を研究しているのかすら機密事項なのだ。データ漏洩防止策に適切に取り組んでいれば、自社特許のプライオリティは上がり、他社から「この会社とライセンスを組めば有利になる」と評価されることにも繋がる。

 つまりISO27001の認定を取得することは、個人情報流出の「罪」を防止するだけでなく、企業価値を上げる「益」も生み出すのだ。

 そんなわけでわが社でも、取得に向けて具体的な検討に入った。
 まず最初に各データに機密性の重要度ランクを付け、保管場所のリストを作成する。重要度の高い部類にランクされるのは、社員の個人データ(住所、電話番号、経歴など)や社内の重要書類、経理情報などだ。ランクが低いのは、雑誌やWEBサイトなどで公になっている情報だ。

 情報漏洩防止のため、各部屋への出入りは社員証で認証管理し、パソコンなどを使用する際の使用情報管理も行う。ウィニーなどファイル共有ソフトによる漏洩もあるので、使用するソフトウエアのリスト化も必須事項だ。

 万一情報が紛失した場合にそれが分かるように、保管場所を明示し、番号を付けてリスト化することも推奨されている。パソコン上のデータは簡単にコピーできるからリスト化しても意味がないと考える人もいるかもしれないが、問題は漏洩だけではない。

 重要な情報を紛失すれば、企業は大きな損失を被る。ゆえにバックアップも義務付けられている。9001や14001と同様、定期的な審査も受けなくてはならない。

 結局ISO27001の基準を満たすためには、部署の移動があるたび、情報が増えるたびにリストを更新する必要がある。全社員がISOを認知していることも認証取得の必須事項となるため、パートも含めた社員への教育も欠かせない。一気に仕事が増えたことは間違いない。

 とは言え、パソコンのハードディスク、フラッシュメモリ、DVDなどの媒体は、安価で大容量化が進んでいる。手のひらに乗るような小さな媒体に、何十万、何百万の個人情報が簡単に記録できる。

 もはや個人のモラルや社内規定だけで情報漏洩を防ぐことは困難だ。媒体に記録する際に暗号化するのも一つの方法だが、今後はできる限り一箇所に情報を集中させないように運用することも検討すべきだろう。

 いずれにせよ、日本ではまだ馴染みの薄いISO27001は、情報管理の標準システムとして今後ますます注目されていくだろう。

    北野雅史(30代 コンピューター技師)