JIPDEC情報漏洩事件から学ぶ、契約違反による情報漏洩への対策

一般財団法人日本情報経済社会推進協会（以下、JIPDEC）から情報漏洩事件が発生したことが2023年8月10日に協会のホームページより発表されました。^※1

JIPDECとはプライバシーマーク制度や電子署名・認証制度などを運用し、日本の情報セキュリティの基盤の整備などを進める組織です。日本の情報セキュリティの中枢を担うJIPDECから、情報漏洩事件が発生してしまいました。

情報漏洩事故の概要

協会のホームページによると、JIPDECのプライバシーマーク審査員の一名が、契約に反してプライバシーマーク審査関連資料を自宅に保管していました。その後、審査対象の事象者の資料が漏洩したことが判明しました。

事故については現在も調査中で、新しい情報が判明しだい公開されるようです。

セキュリティ意識が高くても、契約やルールは破られる

冒頭で述べた通りJIPDECは日本の情報セキュリティにおいて非常に権威のある組織ですが、それにも関わらず審査委員の契約違反がきっかけとなり今回の情報漏洩事件が発生しました。

この事件から、どんな組織であっても契約違反は起こり得るということを再認識する必要があります。恐らく契約違反を犯した審査員は、業務の忙しさの余りに契約違反を起こさざるを得ない状況にあったのではないでしょうか。
契約の適用範囲が組織内など限定的であるほどに、業務を優先した結果、契約違反に対するハードルが低くなるのではないかと思われます。

持ち出しによる情報漏洩対策に必要なことは？

しかし情報漏洩事件は社会全体へ影響を与えます。特に今回の事件のように契約違反の末に情報漏洩が発生した場合、契約を違反した個人だけでなく、組織全体の社会的信頼の損失に繋がります。しかし繁忙期などで、機密情報を自宅などに持ち出してしまうケースは十分に考えられます。

そのため持ち出しによる情報漏洩への対策は、契約やルールでなく、情報そのものを守り、持ち出されても問題のないようなアプローチでの対策が必要になります。

IRMによる情報漏洩対策

今回のような内部関係者の情報持ち出しによる情報漏洩事件への対策として、ファイルを暗号化した上で操作制御を行うIRM（Information Rights Management）システムが最適です。

まずIRMでファイルを暗号化することによって、ファイル利用時は暗号化を解くためにIRMシステムから認証を受けて正規の利用者であることを証明する必要があります。この認証が求められることによって、暗号化ファイルが外部に渡ってしまったとしても、暗号化を解くことができずにファイル内の情報の漏洩を防ぐことができます。

そしてIRMによるファイルの操作制御は、利用者へ暗号化したファイルに対する操作権限を付与します。この権限設定によって、利用者は業務に必要な操作のみが許可されて、情報漏洩に繋がる操作は禁止されます。この結果、IRMシステムから認証を受けた利用者であっても、暗号化されたファイル内の情報は漏洩から守られます。

このようにIRMシステムを利用して情報漏洩対策を行うことで、機密情報は内部関係者の契約違反などの不正があったとしても、情報漏洩を防ぐことができます。

今回の事件を通して、どんな組織であったとしても内部関係者による契約違反は起こり得るリスクであることを肝に銘じる必要があります。そして契約違反などから生じる情報漏洩への対策には、情報を暗号化した上で操作制御を行うIRMシステムによる情報が持ち出されても問題ないようなアプローチが必要となります。
テレワークが一般的に普及した今、情報の持ち出しによる情報漏洩のリスクは以前より大きくなっており、多くの組織が持ち出しによる情報漏洩への対策が求められています。今回の事件によって不安を感じた方は、弊社にお問い合わせいただければ幸いです。

参照

※1 制度関連のNEWS｜プライバシーマーク審査関連資料の漏えいについて｜プライバシーマーク制度｜一般財団法人日本情報経済社会推進協会（JIPDEC）