地方自治体の情報セキュリティ対策は整備されてきたのですが、それでも個人情報漏洩等の事件は日常的に頻発しています。以下の事例は、はSecurity NEXT(http://www.security-next.com/)から抜粋しました。
個人情報の入った紙の書類やUSBメモリなどを庁外に持ち出して、紛失したり盗難にあったりする事件は日常的に頻発しています。それが発生する局面は多様です。しかも、記録媒体が多様化しています。特に携帯電話は、機能が充実しており、重要な情報が蓄積されているので注意する必要があります。
日本ネットワークセキュリティ協会「改訂版 2006年度 情報セキュリティインシデントに関する調査報告書」では、2006年における民間企業を含む個人情報漏洩事件について、漏洩媒体比率(件数)では紙によるものが43.8%、USBメモリなどの可搬記録媒体によるものが8.2%であり、これだけで全体の過半数になっています。しかも、漏洩した被害者数では、可搬記録媒体によるものが56.6%を占めています。
また、漏洩原因比率(件数)では、紛失・置忘れが29.9%、盗難が19.0、誤操作が14.7%など、不注意による漏洩が多くを占めています。
とかく情報セキュリティというと、ウイルスや不正アクセスが話題になりがちですが、
・紙やメモリなどの紛失や盗難など、非IT分野の対策が重要
・IT部門など限られた人ではなく、全職員の問題としてとらえることが重要
ことに留意するべきです。
ここでは、P2Pでのファイル交換ソフトがウイルスに感染したことが原因となる情報漏洩のことを、Winnyによる流出ということにします。この被害に遭うと、多数のパソコンにダウンロードしてしまい、削除が事実上不可能になるので、非常に危険です。
Winnyによる漏洩は、大きな社会問題になったのに、日経ITpro「約85%の自治体がWinny対策を実施「e都市ランキング2006」中間報告より」によると、庁内での利用禁止をルール化した自治体は半分以下であり、特に対策を講じていないのが14.6%という状況です。それでも、85.4%は何らかの対策をしていることにより、庁内からの流出はなくなりました。ほとんどが自宅パソコンからの流出です。これも自宅業務が問題になります。
紙や記憶媒体の紛失・盗難、Winnyによる漏洩は、個人情報を持ち出すことと、その管理が不十分であることに起因します。これらへの対策には、シツケ、シカケ、シクミの観点が必要です。
シクミの解決が困難なために、シツケで解決しようと考えがちですが、それだけでは抜本的な解決にはなりません。シクミに関する長期的な取組が必要です。
比較的件数が少ないのですが、サーバなどのセキュリティホールを突いた攻撃は深刻です。特に行政サイトでは、次の弱点があります。
標的になるサーバに大量のデータを送りつけることにより、正規のサービスをさせないようにする攻撃です。銀行強盗が盗難車を使うように、DoS攻撃者は直接に標的を攻撃するのではありません。あらかじめセキュリティの弱いサーバにウイルスを仕掛けておきます。それを踏み台といいます。そして、攻撃者の指令により多数の踏み台になったサーバから一斉に標的に大量のデータを送りつけるのです。
これもセキュリティホールを突いた攻撃ですが、その原因が職員がいかがわしいサイトを閲覧したために、攻撃された例です。
そもそも職場のパソコンやインターネットを私用に使うのは服務規程違反です。これを取り締まるために、不適切なサイトにはアクセスできなくするフィルタリングをかけることができます。また、民間企業で従業員の電子メールやWeb閲覧などの行動を監視するのは、通信の秘密だとの意見もありましたが、現在ではあらかじめ周知しておけば合法であるとの見解が一般的になっています。
人間は間違いをします。間違いを防ぐには常に意識を高めておくシツケが重要ですが、それとともに、間違いが起こらない、起こってもすぐに発見できるシカケが必要です。そのようなシカケをフールプルーフといいます。
操作ミスはよく起こります。証券会社の社員が、60万円の株を1株売却するのを間違えて1円で60万株を売却すると入力して、大騒ぎになったこともあります。入力データが妥当でないときは警告を出すようにプログラムにチェック機能を持たせることが必要ですが、どのようなチェックをするのが妥当なのかは、利用者でないとわかりません。この証券会社のときはシステムから警告が出たのですが、それも見落とされたそうです。見落とさないような警告画面にするのも利用者が指摘する必要があります。また、誤操作で重要なファイルが破壊されたり改ざんされたりしないように、ファイル側にプロテクトをかけておくことも必要です。
地方自治体では、発送業務やプログラム作成は外注するのが一般的ですが、そこでのトラブルについても発注元の責任が問われます。運用ミスの場合では、チェック体制が適切に機能しているかどうかを発注元が監督する責任がありますし、プログラムミスの場合では、発注者が適切な受け入れテストをすれば、このようなトラブルは発生しなかったはずです。
とかく業務委託では丸投げになりがちです。しかし、発注元に監督責任があることを認識してください。個人情報保護法ではそれが条文に明記されています。
最近の事例では見当たらなかったのですが、留意すべき事項をいくつか列挙します。
このように、情報漏洩の危険は、あらゆる場面に存在することに留意してください。