|
税理士事務所の先生からこんな話をお聞きした。先生が新人だった頃、先輩と同行し電車に乗ったのだが、先生が思わずかばんを網棚に乗せたところ先輩から徹底的に叱られたらしい。お客様の大切な情報を体から離すなんて言語道断である、外出中は決して手放してはならない、ということだ。
先日ある自治体で公共住宅の家賃滞納者の情報が流出!と言う事件があった。なんでも名前から住所、電話番号から滞納額にいたるまで全てが外部に流出した可能性があるという。
しかしこれはハッカーがサーバーに侵入したなどという面倒な話ではなく、ミスプリントの裏紙をメモ代わりに使っていたことが原因だった。
ミスプリントや大量に印刷した紙の裏側は、メモにもってこいであり、どこの会社でもある話であろう。
さてここで、再発防止策を考えて欲しい。と言われたら皆さんはどうするであろうか?
このようなケースを防ぐ為には以下の対策が考えられる。
1. プリントアウトされた用紙は、一切メモ用紙としての流用を禁止する。
2. 個人情報データが印刷された用紙の、メモ用紙への流用を禁止する。
3. 個人情報データの印刷を制限、もしくは禁止をする。
1のケースはとても簡単な対策だが、毎日あれだけの用紙が焼却されていくのは、資源保護の観点からもよろしくないであろう。
また余分な紙を増やさない為に「無駄なプリントを止めよう」と言う方法もあるだろう。しかし何が無駄で、何が無駄でないのか?それをいちいちチェックするのか?
2,3の場合「個人情報」の定義づけをするのが大変であり、またそれらを教育していくのが一苦労である。
一方「個人情報」だけでなく、外部に流失してはならない「情報」とは一体なんなのか。
「情報の定義決め」は誰が決めるのか。
大手企業や個人情報を扱っている企業は、1のケースを選択する。かといって2や3も選択肢として間違ってはいない。もしくは1,2,3を同時にもしくはそれらの折衷案ということもあるだろう。
ここで一番大切なことは、それらのケースを出来る限り想定して、企業としての情報資産に対する考え方を創り上げる事である。
「セキュリティ」というとどうしてもテクニカルな部分がクローズアップされがちである。「ファイアーウォール」で不正進入を防ぎ、「ワクチンソフト」でウィルスの感染を防ぎ、」「ネットワーク監視ソフト」で社内からの不要なアクセスを制限する等。
しかしその他にいわゆる会社の情報資産に対する法律である「情報セキュリティポリシ」と、それを実現していく為の「情報セキュリティ教育」を忘れてはならない。
冒頭のケースも社内に「●●は禁止」と言う風潮さえ出来ていれば、起きなかった筈であり、そのような風潮を創り上げていく事こそがシステム担当者の今後の大切な役割になると思う。
|
