NTTデータ・セキュリティ創立10周年特別コラム情報セキュリティの10大潮流－その2－
～情報漏洩への社会的取り組み～

■■　セキュリティ管理の確立【カテゴリ1】　■■

第2の潮流「情報漏洩への社会的取り組み」

前回のコラムでは、第1の潮流「情報セキュリティ評価・認定フレームの確立」の中でISMS適合性評価認定制度について説明しましたが、このISMS適合性評価認定制度の確立と同時期に、個人情報の漏洩に関わる「個人情報保護法」、営業秘密の漏洩に関わる「不正競争防止法」が相次いで制定されました。これらの情報漏洩防止に関する法律の制定により、情報漏洩に関わるセキュリティ管理がわが国において定着してきたといえます。

1. 世界的な個人情報保護の流れ

(1) OECD(経済開発協力機構)の動き

1972年スウェーデンでは、世界で初めて個人情報保護に関する法律を制定させました。その後相次いで米国、カナダ、ドイツ、フランス、オーストリア、デンマーク等が個人情報を保護する法律を制定しています。しかし、各国で制定された法律の内容に違いがあったために、OECDがプライバシーおよび個人情報保護の統一基準を1980年にガイドラインとして制定し、OECDの加盟国はガイドラインの中にある8原則を最低限の基準として満たすことが求められました。

－8原則－

・収集制限の原則　・データ正確性の原則　・目的明確化の原則　・利用制限の原則
・安全保護の原則　・公開の原則　・個人参加の原則　・責任の原則

(2) EU（欧州連合）の動きと日本へのインパクト

1995年EUは、個人データ保護指令を出し、EU域内各国に個人情報保護のための法律や制度を準備するように要求しました。この指令では、個人情報の保護が十分でない国に対して個人情報を提供してはならないとする厳しいものでした。 この諸外国の動きは、日本が個人情報保護に関する法律や制度を整えなければ、各国と個人情報のやりとりが前提となる商取引ができないことを意味していました。そこで日本でも2003年に個人情報保護法を制定し、各省庁や団体が個人情報保護法を基に関連事業者に対応したガイドラインを公表しました。 なお、行政機関が保有する個人情報に関しては、1988年に行政機関個人情報保護法が制定され、多くの自治体で個人情報保護条例が作られています。

2. 個人情報保護法

(1) 個人情報の保護の本質

個人情報保護法の第一章総則「目的」では、『高度情報通信社会の進展に伴い、個人情報の利用が著しく拡大している」との観点から「(抜粋)個人情報を取り扱う事業者の遵守すべき義務を定め、個人情報の有用性に配慮しつつ、個人の権利利益を保護する』　としている。ここで注目すべきは個人情報の有用性について配慮しつつ、としていることです。もう少し積極的な言い方をすれば"個人情報をうまく活用するために、然るべく個人情報を保護する義務を負う"と捉えるべきでしょう。
情報漏洩による事業者の経済的損失、また一旦失った信用やブランド価値の再構築も難しいこと等から、どうしても各事業者は「情報を守る」ことだけに目が行きがちになります(ある意味過敏になっていると言えるかもしれません)。「危ないからできる限り個人情報は収集しないように！収集したものは即廃棄するように！」という話もよく聞きますが、「情報を適切に生かすこと」が情報セキュリティの大きな目的の1つであることを忘れないようにしたいものです。

(2) 個人情報保護法の概要

個人情報保護法は、個人情報保護のために制定された事業者に対する個人情報保護の義務を規定した法律です。その主な項目は、1）利用目的を特定すること、2）目的以外に利用してはならないこと、3）あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならないこと、となっています。個人情報とは、個人を特定できる氏名はもちろん、画像や音声などのように、他の情報と比較することにより個人を特定できるものも含まれます。また、顧客情報のみならず、社員の評価なども個人情報に含まれます。

(3) 個人情報保護法の課題

情報セキュリティの確立と個人情報の慎重な取り扱いに対して、保護法は一定の役割を担ってきました。一方、懸念された過剰反応も見られるようです。法律違反となるリスクを負うよりも個人情報の提供を一切行わないという対応や、十分な検討や工夫を講じないまま個人情報保護法を理由に、個人情報を企業活動に利用しないということも一般化してきているようです。個人情報保護法は、施行後3年の一昨年4月の見直しでは、本質的な改正は行われていませんが。2008年に「過剰反応」に関わる調査を実施しており、この調査を踏まえて今後何らかの施策が講じられるものと思われます。

3. その他情報漏洩に関わる法制度

(1) 不正競争防止法

デジタル化やネットワーク化、人材の流動化等に伴い、企業の営業秘密が国内外の競争他社に流失し、営業秘密をめぐるトラブルが増大しています。このため、不正競争防止法による保護が求められ、営業秘密の保護の明確化が強く求められるようになってきました。平成2年の「営業秘密」の不正取得、使用、開示行為に対する民事保護規定の創設以降、平成15年に営業秘密侵害罪が創設され、その後罰則規定が強化されてきましたが、規定対象範囲が限定されていたため実効性の点で課題がありました。このため、本年の通常国会で改正案が可決成立し<参考2>、営業秘密侵害罪の目的要件が拡大され、より実態に合わせた営業秘密(企業秘密)の法的保護が可能になりました<図1参照>。

今回の主な改正は、1）刑事罰による営業秘密の保護強化、2）不正競争行為に対する民事的保護の強化(損害賠償の立証負担軽減)、3）情報化の進展に沿った規定の整備の3 点です。 但し、不正競争防止法の対象となる営業秘密は、以下の要件が必要となりますので、営業秘密に対するアクセス制御等のセキュリティ整備が不可欠になります。

－営業秘密の要件－

1. アクセスが制限され秘密として管理されていること（秘密管理性）
2. 事業活動に有用な技術上または営業上の情報であること（有用性）
3. 公然と知られていないこと（非公知性）

<参考2> 平成21年改正資料（営業秘密侵害罪における処罰対象範囲の拡大等）
http://www.meti.go.jp/policy/economy/chizai/chiteki/unfair-competition.html#21

(2) 割賦販売法

2008年に割賦販売法が改正され、クレジットカード事業者に対して個人情報保護法ではカバーされていないクレジットカード情報の保護に必要な措置を講じることが義務付けられました。同時に、カード情報の漏洩や不正入手が刑事罰の対象となり、クレジット業界のセキュリティ基準(PCI DSS)<参考3>への準拠と普及がさらに求められるようになりました。

<参考3> MTTデータ・セキュリティコラム「PCI DSS徹底解説」
http://www.nttdata-sec.co.jp/article/pcidss.html

4. 漏洩事件と原因

情報漏洩に関わるインシデント件数は、依然として高い水準にありますが、NPO　日本ネットワークセキュリティ協会(JNSA)の2007年の調査によると、情報漏洩の原因としては「紛失・置忘れ」、「盗難」、「誤操作」の比率が多く上位となっていますが、2006年に比較して「管理ミス」が2007年には大幅に増加し、「紛失・置忘れ」とほぼ同じ割合となったことが特徴的です。<図2参照>
これは内部統制への取り組みが進み、組織内情報の管理が強化され、組織の建物内での誤廃棄や紛失についての公表がが進んだ結果だと推測されます。

情報漏洩経路別件数の割合で見ると、最もインシデント件数が多い媒体・経路は「紙媒体」が全体の40%を占め「USBメモリ等可搬記憶媒体」の割合は、2006年の8.2%から12.5%へ増加しているようです。また、2006年には Winny、Shareで知られる不特定多数のコンピュータ間でファイル(データ)をやり取りできるファイル交換ソフトによる情報漏洩事件が多発しましたが、2007年はWebやネットを経由したインシデントの割合は、やや減少しているようです。<図3参照>

5. 知的生産性の高度化に向けて

情報漏洩への対策には、監視や利用制限、内外からの脅威に防御線を構築する等様々なソリューションが実用化・提案されています。本年、米国で開催されましたセキュリティ・カンファレンスにおいて、展示のトレンドはDLP製品 (Data Loss Prevention)でした。 一方で、そもそも情報セキュリティは、情報を流通、共有させて情報を生かすための手段です。景気後退下で新しい価値を創造する仕組(情報の共有と活用など)が叫ばれる中、求められる情報共有は、情報セキュリティの整備が前提になります。また、セキュリティ対策による生産性低下を回避していくことも重要です。セキュリティ対策によりPCの持ち出しが禁止されたり、アプリケーションの使用が制限されたり、認証の手続きが煩雑化する等が生じることが多いですが、今後は生産性を妨げないソリューションが強く期待されるところです。