果たして貴社は「個人情報なんて持っていない」と言い切れるか? 対策にコストも時間も掛けられない中小企業が、まず手を付けるべきことは「状況把握」だ。
従業員が、知らないうちに必要のない個人情報を保管、紛失していた――もし、貴社でこんな事件が起こったとしたら、すぐに状況を把握して報告することができるだろうか?
個人情報保護法が改正され、適用範囲が拡大したことで、もはや中小企業といえども取引先を含む包括的な対策を講じなければならなくなった。予算も手間もかけにくい組織が取るべき対策とはどういったものだろうか。
AOSデータは2017年10月10日、改正個人情報保護法対策ツール「プライシーディフェンダー」の提供を開始した。大規模な対策投資が難しい従業員規模500人以下の組織を想定ており、価格は10ライセンス(5年間)で15万円(税別)だ。
管理データやレポートをクラウド型のツールで提供することで、拠点が分散していたり、自社以外の委託先PCであっても一括管理できるようにした。管理担当者を拠点ごとにおけない場合でもまとめて管理でき、委託先の状況を含めて把握できる利点がある。
AOSデータ社長 春山洋氏によると「従業員PCには、想定しない資料の中に個人情報が含まれているケースも多く、管理しきれていない状況がある。万一漏えいした際に、どんな資料がどこにあったのかを把握することすら難しい状況の企業がほとんど」だという。
現行の改正個人情報保護法は、5000件未満の個人情報であっても対象になることから、顧客や取引先数が限定的な中小の組織であっても、対応する義務が生じる。情報漏えい対策だけでなく、日々の業務の中でも「適正な安全管理措置」を講じる必要があるとされている。
例えば請求書や人事情報、メールボックスの中にあるデータなど、安全措置が必要なのは取引台帳や会計システムなどだけではなく、企業が保有するデータ全てを確認していく必要があり、また、どのデータに誰がアクセスしているかも把握する必要がある。
とはいえ、いままで規制の対象外だった中小企業にとっては、安全管理措置はもちろんだが、現状でどの程度の個人情報を保有しているのかを把握することすら難しく、管理者側が想定していないデータに個人情報が含まれていた場合にはチェックしきれていない可能性が高い。
このため同社では検索機能を試せる無償版を配布しており、まずは従業員のPCにどのくらい個人情報が残されているのか、状況を把握することを推奨している。
検索可能な個人情報のパターンで事前設定されているものは、マイナンバー、クレジットカード番号、携帯電話番号、電子メール、パスポート番号、運転免許証番号、電話番号、口座番号、氏名、住所の10種。それ以外でも任意のパターンを指定できる。
万一の問題が発生した場合に向けて、USB同型の簡易フォレンジックツール「AOS Data Forensic」も提供している。インターネット接続履歴やアクセスしたドキュメントの情報、USB接続履歴などを、PCに影響を与えずに収集できるという。
「フォレンジックの専門家に調査を依頼する場合、企業が負担するコスト負担は決して少なくない。簡易でもすぐに利用実態の履歴を収集することはリスク対策としても重要」(春山氏)
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。