横領・改ざん2 ずさんな管理をしていた結果 メインビジュアル 横領・改ざん2 ずさんな管理をしていた結果 メインビジュアル

ずさんな管理を
していた結果…

ずさんな管理をしていた結果

横領・改ざん2 ずさんな管理をしていた結果 漫画
横領・改ざん2 ずさんな管理をしていた結果 漫画

いきなり余談ですが・・・

漫画の例のように「前オーナーの機微情報が残ったまま」の中古品が一般市場に出回ることが、残念ながらしょっちゅうあります。
当社の実体験の話をします。社内研修等で実験用に大量のコンピュータ部品を用意する際、実験コストを抑えるために中古ショップやネットオークションで中古部品を購入することが度々あります。そして部品の品質チェック(劣化確認)のために検査をしたとき、前オーナーの機微情報が復元されることが頻繁にあるのです。稀にではなく頻繁にあります。しかも恐ろしいことに、断片的に少量が残っているというのではなく、ほぼ丸々残っていたり・・・

デジタル機器の廃棄のこと、真剣に考えてください。

引き続き当社の体験談となりますが、実験を通してもう一つ気づいたことがあり、それは「同時期に大量購入すると、同じ会社で使用されていた中古品が揃うことがある。」という点です。推測ですが、企業が設備入れ替えなどの理由でデジタル機器を廃棄する際、まとめて業者に回収され、それが漫画の例のように横流しされた結果、同時期に中古市場に出回ってしまうのだろうと思われます。

このようなことがよくあるので、デジタル機器を廃棄する際は次のことを真剣に考えたほうが良いです。

  • ●回収業者や産廃業者の言うことを信用してよいのか。
  • ●データ消去は確実に実施されるのか。
  • ●データ消去の方法に不足はないだろうか。

「まぁ大丈夫だろう」などと性善説で考えないほうが良いです。大丈夫じゃないから前述の体験談のようになっているのです。そのため特に重要な情報を扱っていた機器に関しては、有料かつ証明書付きのサービスを利用したほうが良いです。

【重要】個人情報が含まれる機器の廃棄について

個人情報が含まれる機器を廃棄する際は、復元不可能な手段でデータ消去を行なわなければならないと定められています。(個人情報保護ガイドライン)さらに、廃棄を業者に委託しておこなうときは、「委託先が確実に削除又は廃棄したことについて証明書等により確認することも重要である。」とされています。
この文面からお感じいただけたと思いますが、廃棄を適当にしてはダメだということです。そのため通常は専門業者に委託することとなりますが、その際は業者の信頼性もよくみて検討しないと漫画の例や当社の実体験のようなことが起こり得ます。
本当に信頼できる専門企業のデータ消去サービスは相応に費用がかかります(1台あたり数万円)。その費用をケチりたくなってしまいがちですが、しかし個人情報や機密などが漏れたら取り返しがつかないことになるので、ここはコストよりも信頼性を重視すべきと思います。ちなみに当社(LTセキュリティ)でもデータ消去のご要望に対応できますので、どの業者が信頼できるところなのか分からないという場合にはご相談ください。
さて長くなりましたが余談はここまでで、次から本題に移ります。

形骸化しがちなセキュリティ体制

情報セキュリティは、体制を構築する最初だけ頑張ってもダメです。その体制を維持することが重要であり、そのためには定期的な監査が必須となります。維持と監査の重要性をイメージしやすいよう、よくある喩え話をします。

  • ①情報セキュリティの体制を改善するべく、経営者がリーダーシップを発揮した。
  • ②書庫や倉庫の中の保管物を守るために、それぞれの扉に錠前を設置した。
  • ③鍵は総務部で管理し、キーボックスに収めて保護することとした。
  • ④鍵の持ち出しや返却の際は管理台帳に記録することとした。
  • ⑤前号までのセキュリティ体制が構築された初期は、社員たちは真面目に従っていた。
  • ⑥しかしすぐに、管理台帳に記入する手間を面倒臭がる者が現れ始めた。
  • ⑦貸出人も借受人も同じ社内の者同士であるため「なあなあ」になり、各社員の勝手な判断で管理台帳の記入が省かれるようになった。
  • ⑧さらに貸出手続きは各社員の勝手な判断で省略されていき、鍵をすぐに持ち出せるようにと、キーボックスは無施錠で総務部の入り口付近に置かれるようになった。
  • ⑨最終的に、総務部までいちいち鍵を取りに行くのは面倒だと、各社員の勝手な判断で書庫や倉庫の扉は施錠されないようになった。

この例のようにセキュリティの設備を導入して環境を整えたとしても、それを監査する目が無いと時間の経過とともにセキュリティ体制は徐々に崩れていき、形骸化し、やがてセキュリティなど存在しないのと同等の状態にまで破綻することが往々にしてあります。

4つの安全管理措置

個人情報保護委員会が定める「個人情報保護法ガイドライン(通則編)」で、次の4つの安全管理措置について具体的に明記されています。

  • ①組織的安全管理措置
  • ②人的安全管理措置
  • ③物理的安全管理措置
  • ④技術的安全管理措置

これら4つの安全管理措置は、導入時だけ頑張るのではなく永続的に取り組まなければならないことです。「維持できたらイイな」と甘く考えるのではなく、維持しなければいけない決まりごとだと思ってください。

法令はどんどん厳しくなっています

情報の取り扱いに関する法令は、どんどん厳しい内容へとアップデートされています。
「努力義務」から「義務」へ。サイバーセキュリティ関連の法令は強化されつつあります。コンピュータとインターネットはもの凄い勢いで発展し、伴ってもの凄い勢いでサイバーセキュリティのリスクが高まり続けているため、法令も厳しくならざるを得ないと言えます。それは日本だけに限ったことではなく、世界的にどんどん厳しくなっています。例えばEU圏のGDPRを筆頭に、米国のCCPA、中国サイバーセキュリティ法などなど。日本においても個人情報保護法が改正されたり、サイバーセキュリティ経営ガイドラインが定められたりなど、各国の動きと同じようにどんどん厳しくなっています。しかしそのことを知らない企業は多く・・・そして上の漫画のように欠陥のある体制のままでいて、情報漏洩の事案が発生してしまうケースが多いです。
 漫画の例を見ますと、前に列挙した4つの安全管理措置のうち幾つかの部分に問題があったようです。カードキーや防犯カメラが導入されるなど、セキュリティ体制の構築時には上記①から④の全てを満たしていたのであろうと思いますが、しかし防犯カメラの確認や手荷物検査が省略されるなど、②人的安全管理措置や③物理的安全管理措置において欠陥が生じていたようで、そしてそれは①組織的安全管理措置が十分に機能していない(運用状況が監査されていない)ことにより引き起こされているのだと考えられます。

監査に役立つデジタル・フォレンジック調査

セキュリティの運用状況を監査する際、残っている記録だけで状況確認ができるなら良いです。しかし近年では犯人が“悪知恵”を働かせて、記録等を隠蔽工作する(消去する・改ざんする)というケースが相次いでいます。そのようなとき、表面上に残されている記録等だけを確認するという監査方法は危険です。なぜならば、犯人が「他人に罪をなすりつける」ように偽装や記録の改竄を施している場合には、監査で誤った判断に導かれてしまう(犯人の罠にはまる)という恐れが強くあるからです。

「残っている記録等は真実のもの?」
「それとも改竄・捏造された不実のもの?」
そのような検証においてデジタル・フォレンジック(デジタル鑑識)の技術を活かすことができます。当社(LTセキュリティ)では裁判における私的鑑定や企業の内部不正調査で多数の実績があります。自社だけでの自己調査・自己判断では前述のような「罠にはまるリスク」がありますので、監査において不明点・不審点があるような場合には一度当社にご相談ください。

相談見積り無料・全国対応・緊急対応

CASE
よくある相談事例

ARTICLE
記事一覧

相談見積り無料・全国対応・緊急対応

page top