個人情報の入力委託業務時の漏洩対策

業種 機密区分 顧客のリスクと要望
サービス業 個人情報秘 自治体から個人情報の入力代行を請け負っている。入力オペレータが自治体からお預かりしたデータを閲覧しながら、所定のデータベースシステムへの入力データを作成している。入力オペレータが自治体からお預かりしたデータをなんらかの手段で外部持ち出しされても情報漏洩にならないように管理したい。
対策の骨子 ネットワーク、端末上の対策だけではなく、ファイル自体をDataClasysで暗号化、操作権限を限定する。外部持ち出しができる何らかのセキュリティホールが生じてもファイル自体の持ち出しをシステム的に禁止し、さらに開いたファイルの中身をコピー&ペースト、スクリーンショットで抜出して持ち出すことも禁止する。
具体策 管理者がお客様よりお預かりしたファイルを特定のフォーマットに変換して自動暗号化フォルダに保存し、自動的に暗号化する。暗号化を確認してからオペレータ参照用のファイルサーバにファイルを移動させ公開する。
オペレータには閲覧権限しか付与しない。DataClasysでは閲覧権限しかない場合、暗号ファイル自体の複製、移動が禁止される。ファイルの閲覧中もファイル自体は暗号化のままのため、何らかの操作で持ち出しされても暗号ファイルのため外部では開けない。更に印刷、コピー&ペースト、スクリーンショットも禁止した。
効果 東西の入力センターに導入した。東京サイドの管理者が一括管理し、それぞれのDataClasysサーバがセカンダリー機能を有して効率的なシステム運用もできており効果的な対策となっている。
個人情報の入力委託業務時の漏洩対策