1. ホーム >
  2. FUJITSU PCセキュリティラボ >
  3. 経営者へ、情報漏えいから企業を守る処方箋 IT業界に精通した弁護士が生体認証の有効性に触れる

FUJITSU PC Security Lab.

富士通がお勧めする Windows.

経営者へ、情報漏えいから企業を守る処方箋
IT業界に精通した弁護士が生体認証の有効性に触れる

記事の要約

  • 私的なパスワードの社内システムでの“使い回し”を狙う「リスト型アカウントハッキング攻撃」が出現するなど、高まる情報漏えいリスク。
  • 高額な賠償金請求、行政指導、刑事罰、その結果として生じる、企業の社会的な信用の失墜。
  • 対策の決め手は、情報を持ちだせない仕組みづくり。確実な本人認証によるなりすまし防止と証跡管理で、内部不正を「抑止」する生体認証の有効性に期待が高まっている。

全文を読む

個人情報保護法が全面施行されてからおよそ10年。多くの企業が個人情報を含めた機密情報の漏えいを防ぐ対策に取り組んでいるが、未だに個人情報漏えい事故のニュースは絶えない。

しかし、昨年発覚した内部犯行による大規模な個人情報漏えい事件がきっかけとなり、多くの企業でしっかりとした対策を図ろうという機運が高まっている。

2016年1月から始まるマイナンバー制度における罰則強化の動きも見据えながら、そのリスクや企業における対策状況、有効な対策指針などについて、IT関連企業の顧客を中心に法曹界で活躍し、個人情報保護法や情報セキュリティ法対策で100件以上の実績を持つフロンティア法律事務所の弁護士・中野 秀俊氏に詳しく聞いた。

企業における情報漏えい対策の状況についてお聞かせください。

上場企業と中小企業やベンチャー企業では状況が異なります。

まず上場企業では一応の情報漏えい対策が迫られているものの、そのレベルは完全ではない状況にあります。

気づいたところから対策に取り組むケースが少なくないようで、ある意味“虫食い”の状態です。

本来であれば、教育を含めた従業員や委託先の人材への対策だけでなく、システム構築や運用を含めた技術的な対策、そして文書をはじめとした規程整備などが必要ですが、そのうちのどこかが抜けて虫食い状態になってしまっているという印象です。

また、中小企業やベンチャー企業では、情報漏えいに関してどうしても他人事だと考えてしまう傾向にあるようです。

ただし、情報漏えい事件に関する報道が徐々に増えてくるに従って、何かしなければならないと考えるようにはなっています。

それでも具体的に何をすべきなのかがわからないため、結局放っておいてしまうケースが後を絶ちません。

情報漏えい対策についての相談は増えていますか?

フロンティア法律事務所 中野秀俊 弁護士

フロンティア法律事務所
中野秀俊 弁護士

昨年大きな事件があったことで、法的な対策も含めた問い合わせが増えている状況です。

実は、一般の方から行政に苦情が寄せられ、行政から企業に対して指導が入るケースが増えており、企業も他人事ではいられない状況にあるのです。

総務省や消費者庁に設置されている個人情報に関する苦情相談窓口には、2013年で大小合わせて5700件ほどの苦情が寄せられており、昨年の事件以来、官公庁も放置しておけなくなっているのが実態ではないでしょうか。

そういう意味でも、情報漏えい対策についての意識は高まっていると考えられます。

どのような経緯で情報漏えいが起こっているのか、具体的な事例を交えながら教えてください。

従業員が機密情報を持ち出すという内部からの流出と、悪意のある人間が外部から攻撃を行うことでの情報流出という2つのパターンに大きく分かれます。

内部からの流出については、自宅で仕事をするために機密情報を持ち出し、ウイルスに感染している自宅のPCから外部に流出したり、共有ソフトなどから拡散してしまったりという事例が数多く寄せられています。

また、退職した方や派遣社員の方が情報を抜き出し、それを転売してしまったという例は、先の事件でも記憶に新しいところだと思われます。

外部からの攻撃については、様々な方法で不正アクセスが実行され、情報が盗み出されているのが実態です。

なかには、私的に利用しているSNSなどのパスワードと社内システムで利用するパスワードを同一にしていたことで、SNSのパスワードが漏えいし、企業システムに侵入される「リスト型アカウントハッキング攻撃」などの例も話として聞いています。

流出したID・パスワードを使って、別のWebサービスへ不正ログインし、情報を搾取。同一のパスワードを使い回すユーザーが多いという傾向を利用した攻撃手法。

流出したID・パスワードを使って、別のWebサービスへ不正ログインし、情報を搾取。
同一のパスワードを使い回すユーザーが多いという傾向を利用した攻撃手法。

実は、2013年に発生した個人情報の漏えい人数は、約925万人ですが、そのうち、不正アクセスが原因とされているものがおよそ728万人に及んでおり、被害人数は外部からの不正アクセスのほうが多いのが実態です。

※参考:JNSA2013年 情報セキュリティインシデントに関する調査報告書

企業が想定しておくべきリスクはどのようなものがありますか?

リスクとして考えられるのは、大きく3つの視点があります。まず1つめは、高額な賠償金が請求されるといったお金に関するリスクです。

個人情報における実際の被害額について見てみると、2013年は情報漏えい事故が約1300件報告されていますが、被害額は1件あたり100万円から1億円までが全体の35%程度、なかには1000億円を超える被害額に及んでいる事故も存在しています。

中小企業は1件の事故で事業が継続できなくなる可能性も十分に考えられます。

2つめは、行政指導に関するリスクです。苦情が多い場合は立ち入り検査が行われることがあり、検査の立会や対応のための書類提出などトータルで200時間あまりを費やさざるを得なかったという例も。

行政指導の対応だけでなく、記者会見やプレス発表の準備、関係各所への連絡など、情報漏えいが発生した場合の対応は多くの時間が必要です。結果として業務に支障が出てしまうことも十分考えられます。

3つめに考えるべきは、刑事罰に関するリスクです。来年実施されるマイナンバー制度では最高4年の懲役刑が存在しており、執行猶予のつかない実刑が言い渡される可能性も考えられるのです。

これら3つのリスクに伴って関係してくるのが、企業が持つ社会的な信用の失墜です。

例えば個人情報の管理がずさんであれば行政指導が入り、悪質な場合は公表されることも考えられます。

そうなると、企業名がネット上で拡散され、半永久的に残り続けてしまうことに。

特に行政のサイトは検索エンジンで上位に上がる傾向があり、企業名で検索するとその情報がずっと上位に表示され続けてしまう可能性もあります。

事業が継続できず、休眠状態になってしまった企業も実際に存在しています。

取るべき対策としてはどんなものが考えられますか。

大前提として、情報が持ちだせるような仕組みのままにしてしまっていることが問題です。

誤操作や管理ミス、紛失などによる情報漏えいは悪意がないものの、結果として情報が外部に流出するということに変わりはありません。

これはシステムで十分カバーできる範疇です。当然リスクに関する啓蒙活動などの教育も重要ですが、十分に啓蒙した場合でもうっかりミスは発生してしまうもの。

それをシステムで予防するという二重の策がまずは大切です。

機密情報が格納されたシステムへID・パスワードによるアクセス制限を行っている企業もありますが、そもそも誰が付与するのか、どう付与するのかといった手順が周知徹底されておらず、具体的な運用にまで至っていないケースも見受けられるのが実態です。

結局アクセス権限を厳重に管理しようとしても、現実的な運用が追いつかず、あやふやなまま放置されてしまっているのです。

生体認証という選択肢は有効になってくるとお考えですか。

本人しか持ちえない情報を使うという意味で、とても有効なものだと思われます。

例えば、機密情報が故意に持ち出されて競合会社に使われてしまった場合、損害賠償請求を行うことになると思われますが、きちんと秘密として管理できていないと法律上訴えることができないのです。

これは「秘密管理性」という考え方ですが、誰でも情報を持ちだせるような状態の管理では訴えることが難しくなります。

この秘密管理性を担保するためには、限られた人しかその情報にアクセスできない環境を作っておくことが重要です。

しかし、アクセスを制限するためにID・パスワードで制御を行っていても、それが許可された人間が使ったかどうかがわからなくなる可能性があり、厳密な意味での秘密管理とは言えない部分も出てきます。

これでは、アクセス権者が制限されているという要件が満たせなくなる可能性は十分考えられます。

それに比べ、生体認証であれば、本人しか持ち得ない情報でアクセス制御を実施することになり、アクセス権がきちんと制限されているということが裁判所としても理解しやすくなります。訴訟のリスクを含めても有効な策の1つだと考えられます。

また、なりすましができない確実な本人認証と証跡管理(ログ管理)により、内部不正に対して髙い「抑止力」としても有効でしょう。

手のひらの静脈による生体認証を試していただきましたが、その感想はいかがですか。

今回初めて利用させてもらいましたが、デモ環境ではあるものの、あっという間に登録できますし、認証そのものも1秒かからないぐらいのレスポンスで使いやすい印象があります。

また、読み取るためのセンサーがパソコンやタブレット内部に内蔵されており、パスワード入力が不要で手間なく認証でき、モバイル利用できる点は素晴らしいと感じました。

セキュリティ対策の取り組みを現場に根付かせるためには、いかに楽に手間なく運用できるかという点が重要です。

手のひら静脈認証を体験し、「認証が速くて手間もかからない。これなら社員であるユーザーも、運用管理する情報システム担当者も負担なく運用が続けられそうですね」と中野弁護士。

手のひら静脈認証を体験し、「認証が速くて手間もかからない。これなら社員であるユーザーも、運用管理する情報システム担当者も負担なく運用が続けられそうですね」と中野弁護士。

手間のかかる仕組みは誰も使いたがりませんし、結局導入しても徹底されずに宝の持ち腐れになる可能性もあり得る話です。

手のひら静脈認証は非接触で利用できるため、心理的な負担も少ないように感じます。

また、IDカードなどを利用する場合、紛失時の再発行手続きといった目に見える工数だけでなく、その運用フローをきちんとマニュアル化しておく必要があるなど、整備しなければいけないことが山積みです。

生体認証であれば紛失することはありませんので、管理する側としても負担がなく運用面でも優れた仕組みと言えるのではないでしょうか。

最後に情報漏えい対策に向けて企業の担当者にアドバイスをいただけますか。

大前提として、秘密管理の徹底をまずは行う必要があります。ただし、手間のかかる方法では現場に根付きませんので、楽に運用できる方法、現場の方が運用しやすい仕組みを採用すべきです。

2016年1月からはマイナンバー制度が始まりますが、そこに向けてどういう対策が有効なのかについてもしっかり意識しておく必要があります。

しっかりとした管理方法で、実効性の伴う運用が可能な対策を心掛けていただければと思います。

富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い合わせ
ください。
電話でもご注文・ご相談を承りますので、右記窓口までご連絡ください。

富士通購入相談窓口

0120-996-186受付時間 9時〜19時

Intel Inside® 飛躍的な生産性を

  • インテル® Core™ i7 vPro™ プロセッサー
  • インテル® Core™ i5 vPro™ プロセッサー
  • インテル® Atom™ プロセッサー

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、
Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。