![ファイル暗号化DataClasys [データクレシス]](/wp-content/uploads/DataClasys_logo.png){kind=logo}
損害保険業界で相次ぐ情報持ち出し・内部不正に、組織はどう向き合うべきか
2024年から2025年にかけて、損害保険業界では情報管理に関するガイドラインの改訂が相次ぎました。これは、従来の情報管理の枠組みだけでは対応しきれない現実が顕在化していることを示しています。
2024年6月、金融庁は「損害保険業の構造的課題と競争のあり方に関する有識者会議」の報告書を公表し、業界全体に情報管理態勢の見直しを求めました。同年9月には日本損害保険協会が「損害保険会社からの出向者派遣に係るガイドライン」を策定し、2025年8月には「保険会社向けの総合的な監督指針」が改正されました。Need to Know原則に基づく内部管理態勢の整備や、出向者を通じた情報共有の制限など、かつては暗黙の運用に委ねられていた部分が、次々とルールとして明文化されています。
これほど短期間に規制が積み重なった背景には、業界を揺るがした一連の情報漏えい事案があります。その多くに共通していたのは、業務上の正当な権限を持つ人物による持ち出しだったという点です。攻撃者が外部から侵入するのではなく、はじめから内側にいる正規の関係者が情報を外へ持ち出す。この構造は、従来型のセキュリティ対策が最も検知しにくい類型です。
ガイドラインの整備はもちろん必要です。しかし、これらは主に「ルールの整備」であり、「行為そのものの制御」ではありません。たとえルールを設け、契約書を交わしたとしても、正規の権限を持つ人間が動く以上、リスクをゼロにすることは困難です。規制対応だけでは十分と言い切れないのが実情です。
経営者にとって特に切実なのは、万が一の事態が起きたとき、「なぜ防げなかったのか」を株主・顧客・監督当局に説明できるかどうかです。情報が外に出たこと自体と同じくらい、説明できない状況が組織の信頼を大きく損ないます。規制強化が続くいま、問われているのは対応の速さだけでなく、対策の実効性と、いざというときの説明可能性です。
本コラムでは、ガイドライン対応と同時に必要となる内部不正への技術的な対策と、組織としての備え方を整理します。
「侵入対策」だけでは防ぎきれない領域
多くの企業では、これまで以下のような対策を中心にセキュリティを構築してきました。
- 外部からの侵入を防ぐネットワーク防御
- 端末の不審な挙動を検知するEDR
- アクセス権限の適切な管理
これらは現在も不可欠な対策です。
一方で、正規のアカウントと権限を用いた操作は、システム上「正当な行為」として処理されるため、結果として異常として検知されない可能性も考えられます。つまり、従来のセキュリティには、「正しい手続きによる情報流出」に対する対応が難しい領域が存在すると言えます。
視点の転換:「持ち出しの防止」から「利用の制御」へ
ここで、セキュリティの考え方を見直す必要があります。
これまでの対策は、「いかに持ち出させないか」に重点が置かれてきました。しかし、業務上の正当な権限を持つ利用者に対して、持ち出しを完全に防ぐことは現実的に難しい場合もあります。
そこで重要になるのが、持ち出された後、その情報は利用可能な状態にあるのかという視点です。
仮に情報が外部へ出たとしても、それが利用できない状態であれば、企業が被る影響は大きく変わる可能性があります。さらに、この課題に対しては、データそのものに制御を持たせる以外に有効な手段は限られています。
データそのものに制御を持たせるという考え方
こうした背景から、近年注目されているのが、ネットワークやシステムではなく、データそのものに対して制御を行うアプローチです。
- ファイル単位での暗号化
- 利用時の認証・認可
- 持ち出し後も継続する利用権限制御
- 制御操作(暗号化・復号)の履歴の記録
これらにより、組織の外に出た後も、データの利用可否をコントロールするという考え方が実現されます。
「最後の防衛線」としてのデータ保護
企業において、すべての侵入や内部不正を完全に防ぐことは容易ではありません。
そのため近年では、侵入や持ち出しを前提に、いかに影響を最小化するかという視点が重要視されています。
企業にとって本当のリスクは、情報が持ち出されることそのものだけでなく、「なぜ防げなかったのか」を説明できない状況に陥ることにもあります。データそのものに制御を持たせることで、万が一の状況においても、情報の利用を制限し、被害の拡大を抑制することが期待されます。
これは、従来の対策を補完する形で機能するだけでなく、侵入や持ち出しが発生した後において実質的に機能する最後の制御手段となります。
DataClasysが提供する価値
DataClasysは、このような「データそのものを保護する」という考え方に基づいたソリューションです。
ファイルを暗号化した状態で管理し、利用の都度認証・認可を行うことで、たとえファイルが組織の外へ持ち出された場合であっても、許可された環境以外では利用できない状態を維持します。
また、いつ・誰が・どのファイルに対して暗号化・復号などの操作を行ったかといった履歴を記録することで、データに対する制御の過程を追跡可能とし、適切な管理を支援します。
仮に復号された状態で外部へ持ち出された場合であっても、その復号操作の履歴から、どの利用者が当該ファイルを利用可能な状態にしたのかを追跡することが可能です。
一方で、暗号化されたまま持ち出されたデータについては、許可された環境以外では利用できない状態が維持されます。
これにより、情報が外部に出た場合であっても、その利用を継続的に制御するという新しいセキュリティの在り方を実現します。
おわりに
情報セキュリティは今、「侵入を防ぐ」ことに加え、「侵入や持ち出しを前提にした対策」が求められる段階に入っています。
データの保護を「境界」から「データそのもの」へと拡張することは、これからの企業にとって重要な選択肢の一つとなるでしょう。
そして、「外に出ても利用させない」という考え方は、情報を守るだけでなく、組織としての説明責任や信頼性を支える基盤にもつながっていきます。
対話型動画でわかる!「DataClasys(データクレシス)」
ファイル暗号化・IRMソリューション「DataClasys(データクレシス)」の製品紹介動画です。画面上の選択肢をクリックすることで、知りたい情報を選択してご覧いただけます。内部不正対策の事例もご確認いただけます。
※1 動画を再生すると音声が流れます。
※2 音声を再生できない環境でも、画面下の字幕で内容をご確認いただけます。
カタログ・資料ダウンロードはこちら
参考
※1 「損害保険業の構造的課題と競争のあり方に関する有識者会議」報告書の公表について | 金融庁 2024年6月25日
