多くの内部不正による情報漏えい事件は委託先、再委託先といった委託元から管理実態が見えにくいところで生じる。委託先との契約で重要情報の取り扱いに関する条件を細かく決めることが不可欠だ。
委託元としては、まず委託先(受託者)が重要情報を預けるに足る業者か否かを判断しなければならない。必要な条件を満たすかどうかのチェック項目を作成して適合度を測るとよい。PマークやISMS認証の取得の有無も目安の1つになる。
相手先を決めたら、自社のセキュリティポリシーや情報セキュリティ対策をよく理解してもらい、重要情報に関して必要かつ適切な安全管理措置はどういうものか、受託者で実現可能か否かを協議する。協議の結果、双方が納得し、合意した内容を契約書に盛り込む。
契約書を作って順守を期待するだけではいけない。チェック項目を委託先に送付して期日内に回答させ、問題があれば指定期間内に改善計画の提出を求めるなど、契約内容が順守されているかどうかを点検、改善できる仕組みを作ることが重要だ。
受託者側で常に適切なセキュリティ運用ができているかどうか、自社内だけでは客観的に判断できない場合も多いだろう。外部業者による定期的なセキュリティ監査を実施し、監査報告を委託元に提示できるようにするのが望ましい。
なお、業務委託契約書のひな型は、経済産業省が公表した「営業秘密管理指針」の参考資料2として掲載されているので、参考にするとよい。ただし、個人情報にかかわる業務の委託の場合に契約書に盛り込む内容については、同省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の記載が細かいので、以下に引用する。
- 委託元及び委託先の責任の明確化
- 個人データの安全管理に関する事項
- 個人データの漏えい防止、盗用禁止に関する事項
- 委託契約範囲外の加工、利用の禁止
- 委託契約範囲外の複写、複製の禁止
- 委託契約期間
- 委託契約終了後の個人データの返還・消去・廃棄に関する事項
- 再委託に関する事項
- 再委託を行うに当たっての委託元への文書による報告
- 個人データの取扱状況に関する委託元への報告の内容及び頻度
- 契約内容が順守されていることの確認(例えば、情報セキュリティ監査なども含まれる。)
- 契約内容が順守されなかった場合の措置
- セキュリティ事件・事故が発生した場合の報告・連絡に関する事項
重要情報は必ず暗号化して受け渡し、契約終了後は間違いなく消去や廃棄が実行されるようにする。また、PCやスマートフォン、外部記憶装置などは貸与記録をとり、確実に返還されたことを確認する。
理想的には委託元の社内やデータセンターに顧客データなど重要情報のデータベースを置き、委託元が受託者のスタッフにアカウントを発行する形が望ましい。特権アカウントは共有せず個別に管理して、いつ、誰が、何をしたかのログが分かりやすく記録され、行動の証跡が確保できるようにする。
また、データへのアクセスは業務に必要最低限の範囲のみとし、1人の運用スタッフが全ての情報にアクセスできるような運用法は避けるべきだ。もし標準的な業務以外の作業が必要になったら、委託元に申請して許可された場合に限り、申請した時間内だけアクセスできるようにするといった工夫も必要だ。
なお、クラウドサービスを利用する場合には、セキュリティ管理策、サービスレベル、ログの提供などについて綿密な確認をしておく必要がある。これについては経済産業省「クラウドセキュリティガイドライン活用ガイドブック」およびASP・SaaS・クラウドコンソーシアム(ASPIC)「クラウド利用者の必要知識と関連ガイドライン等について」が参考になる。
今回の事件を重く見た経済産業省は、2014年8月18日に「個人情報保護法等の順守に関する周知徹底についての要請文」を経済団体に送付した。内容を以下に引用するが、これも対策の参考になるだろう。
- 経営者が率先して、自社内における個人情報の管理体制を構築し、役員クラスの責任者への任命や、個人情報を取り扱う専門部署の設置等、十分な措置を講じること
- 委託先の安全管理措置の実施が十分かを確認すること。また、委託先が再委託をする場合には、事前に承認を求めるようにするとともに、再委託先による安全管理措置の実施が十分かを確認すること。再々委託先以降についても同様の扱いとすること
- 第三者から個人情報を取得する場合には、当該情報について、その入手方法等を確認すること。適法に入手されていることが確認できないときには、偽りその他不正の手段により取得されたものである可能性もあることから、取引の自粛を含め、慎重に対応すること
以上、今回は内部不正の発生を防ぐ対策を、主にマネジメントの観点から考えた。なお、内部不正の防止に関する対策を網羅的に説明する資料にIPAの「内部不正防止ガイドライン」がある。また、同ガイドラインに沿った具体的ソリューションは日本ネットワークセキュリティ協会(JNSA)が発行する「内部不正防止対策ソリューションガイド」が参考になる。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。