GDPRをはじめとする法規制の強化により、個人情報を扱う企業にはこれまで以上のセキュリティ対策が求められるようになりました。特にエンドポイントにおけるサイバーセキュリティ対策は、コンプライアンスと情報ガバナンスの観点からも重要課題になってきています。

そこで本記事では、どのような点に注目してセキュリティ対策をすれば、より良い個人情報保護につながるのかについて解説します。

もう他人事では済まされない!個人情報管理のコンプライアンスリスク

 
GDPR」についてはご存じの人も多いかもしれません。「EU一般データ保護規則」とも呼ばれ、EUの個人情報保護法にあたるものです。EU圏内の個人と関わる製品やサービスを提供する企業は、必ず守らなければならない法規制です。EU圏内に拠点を置いていない企業であっても対象となり、違反すると多額の制裁金を課されるのが特徴です。20185月の施行以来、大手企業の訴訟問題がニュースでも取り上げられるなど話題になっています。

このような訴訟について、「自分の会社には縁のないことだ」と考えていないでしょうか。しかし、個人情報保護を法令によって強化する流れは、世界的なトレンドになっています。日本も決して例外ではありません。


日本では「改正個人情報保護法」が、GDPRより1年早い20175月に施行されています。法令が施行される以前は5千件以下の個人情報しか扱わない場合は個人情報保護法の対象外でしたが、この制限は現在では撤廃されています。ですから、これまで何らかの形で顧客の情報を扱ってきた場合は、中小企業も含めほぼすべての企業が対象ということになります。

個人情報の取り扱いについて明確にしていない企業は、コンプライアンスの面で重大なリスクを負っているという認識を持つ必要があるでしょう。

これからのサイバーセキュリティは「エンドポイント」での情報漏えい対策が重要


顧客を個人情報漏えいの被害から守るためには、サイバーセキュリティ対策が非常に重要です。

セキュリティというと、「外部からの侵入を防ぐ」というイメージを持っている人が多いかもしれません。しかし、侵入を100%防ぐ方法は存在しないというのが実情です。侵入を防ぐだけでなく、たとえ侵入を許してしまった場合でも、大切な個人情報を持ち出すことができないように対策することが望ましいでしょう。

そのためには、個人情報が漏れるリスクがある箇所を具体的に考えて、セキュリティを強化していかなければなりません。

ネットワークの末端にあたる機器(サーバー、パソコン、スマートフォンなど)のことを「エンドポイント」と呼びます。特にエンドポイントには、セキュリティリスクがあると考えるのが基本です。インターネットでサービスを提供している企業であれば、サーバーにセキュリティ対策が必要であることは容易に想像がつくでしょう。しかし、それだけでは不十分かもしれません。


サーバーを外部に公開していない企業にも、個人情報漏えいのリスクはあります。顧客から収集した個人情報が社内サーバーに格納されている場合を想像してみてください。この場合、パソコンから社内ネットワーク経由で個人情報を取り出し、それを電子メールに添付して送ったり、USBメモリにコピーしたりといったことが可能です。


「そんなことをする社員はいないはず」と考える人もいるかもしれません。しかし、悪意がなくてもそのような行動をとってしまうことは十分に考えられます。
また、社外から受領したデータにコンピューターウィルスなどの「マルウェア」が混入していることもあり得ます。

社内のパソコンがマルウェアに感染すれば、個人情報を抜き取られる恐れがあります。こういった事態に備えるためには、社員が使うパソコンもエンドポイントであると考えたセキュリティ対策が必要です。特にマルウェアは感染するとウィルススキャンなどにより、すぐに発見できると思われがちですが、近年のマルウェアは実態を隠して潜伏するのをご存知でしょうか?悪意あるマルウェアの制作者もセキュリティ製品を研究しています。そこをすり抜けて潜伏し、時期を見て活動を開始するよう仕組まれています。


さらに近年では、サービスの利便性を高めるために専用のスマートフォンアプリを提供することや業務でスマートフォンをパソコンのように利用する企業も多くなってきました。そのような場合は、サーバーやパソコンだけでなくスマートフォンもエンドポイントとみなし、個人情報が漏れないように対策する必要があります。

顧客のプライバシーを守るためには「情報ガバナンス」の明確化も必要


個人情報が漏えいするリスクを最新のセキュリティ技術によって抑えることは非常に必要ですが、対策すべきエンドポイントの数も漏えいのパターンもさまざまです。

社内にネットワークやインフラの専任者がいたとしても、情報漏えい対策を丸ごと任せてしまうというのは無理があるでしょう。場合によっては、セキュリティ技術だけでは抑止できないような人的ミスというのも考えられます。

そこで重要になってくるのは、もっとも基本となる「情報ガバナンス」を明確に定義することと、実際の情報の取り扱い方をチェックできる体制を作ることです。

情報ガバナンスを明確にするには、個人情報の「ライフサイクル」を定義する必要があります。個人情報は、その利用目的をわかりやすい規約として提示し、顧客に「同意」を得てから収集するのが基本です。ですから、顧客が同意していない目的で利用することがないようにしなければなりません。また、顧客が同意を取り下げた場合には情報の削除が必要になります。どんな情報がどのコンピューターにどのような形で保存されているのかを、常に把握できている状態でなければならないということです。

このような情報の取り扱い方を社内のルールとして明確に定義し、社員ひとりひとりがルールに従って運用することが大切です。そうすることで、エンドポイントには常に必要最小限の個人情報のみが存在することになり、情報漏洩のリスクが抑えられるでしょう。

そして、実際の情報の取り扱い方をチェックできる体制にするためには、「フォレンジック技術」を活用するのも効果的です。
「フォレンジック」とは「鑑識」を意味する言葉です。元々は法的紛争やサイバー犯罪などの捜査のために押収されたコンピューターを解析し、証拠となるデータを取り出す技術のことを指します。この技術をセキュリティ対策で応用することで、ネットワークのアクセス記録や、データがコピーされた痕跡などを調べることができます。

実際にセキュリティインシデントが発生した際には、個人情報がどのように移動されどのエンドポイントから流出したのかを確認したり、マルウェアの感染を特定と駆除といったことが可能になります。

顧客のために価値あるプライバシーポリシーを


個人情報保護に関するコンプライアンスリスクを回避するためには、エンドポイントにおけるサイバーセキュリティ対策と情報ガバナンスが重要です。

最新の法令に合わせて対策を進めるには、ある程度のコストが必要になるでしょう。しかし、これを大切な顧客を守るためのプライバシーポリシーであると考えれば、企業の付加価値にもなり得るのではないでしょうか。ぜひ顧客にとっても価値のある個人情報管理を目指してください。