検出&暗号化で個人情報の漏洩に根本的な対策を!

個人情報の漏洩対策は事業者の義務

平成29年5月に施行された改正個人情報保護法により、すべての事業者に個人情報保護法が適用されることになりました。また令和2年12月から、違反行為者や個人情報取扱事業者に対する法定刑が引き上げられました。個人情報保護法では事業者の個人情報の取り扱いに対し様々な義務を課しており、これに違反した場合には最高額で1億円の罰金が課せられることになります。さらに社会的信用の失墜や、漏洩事故を起こしてしまった場合には損害賠償責任も負うこととなり、その悪影響は計り知れません。

サイバー攻撃を防ぐのは困難

個人情報漏洩の原因としてサイバー攻撃による被害があげられます。サイバー攻撃を防ぐ手段として様々な対策が提案されてはいますが、すべてを網羅するには多額の費用が必要です。そもそも日々複雑化・巧妙化していくサイバー攻撃を完全に防ぐこと自体が困難です。実際に、サイバー攻撃対策に多額の費用をかけているであろう大企業においても、一度ならず二度三度と情報漏洩事故を起こすケースが発生しています。

個人情報自体に漏洩防止の対策を

サイバー攻撃そのものが防げない以上、個人情報の漏洩事故を防止するためには、マルウェアの侵入を前提とした対策を行わなければなりません。個人情報が含まれるファイルを暗号化し、その利用権限を管理することで、個人情報自体を保護することが可能です。万が一ファイルが外部に流出してしまった場合でも、個人情報は暗号化されていますので漏洩は起こりません。低コストで根本的な対策を実現します。

個人情報の漏洩事故を起こしてしまうと

刑事罰や損害賠償責任が発生します

個人情報の漏洩事故を発生させてしまった場合、個人情報保護法により、個人情報保護委員会等への速やかな報告や事実関係の公表、個人情報本人への連絡等が求められます。さらに国からは是正勧告を受け、これに従わない者に「1年以下の懲役または100万円以下の罰金」、さらに法人に対しては個人との資力格差を勘案し最高1億円の刑事罰が課せられます。また民事上も被害者への損害賠償の必要が生じたりします。間接的にも、社会的信用の低下や調査や再発防止策へのコストなど、その影響範囲は組織の存続をも揺るがしかねないものになる可能性も考えられます。

想定される損害賠償額は6億円以上

NPO法人日本ネットワークセキュリティ協会(JNSA)の調査によると、2018年の個人情報漏洩インシデントの件数は443件、1件あたりの平均想定損害賠償額は約6億4000万円と報告されております。

個人情報漏洩の原因と一般的な対策

個人情報漏洩の原因は主に、「紛失・盗難」「誤操作」「不正アクセス」が挙げられます。

「紛失・盗難」は、業務PC自体やファイルを持ち歩くためのUSBメモリなどを通勤中や外出中に紛失したり、盗難されたりすることで、その中に入っていた個人情報が漏洩するというものです。これに対しては、PCやUSBメモリなどにBIOSパスワードを設定したり、ディスクを暗号化したりすることが考えられます。

「誤操作」の代表的なものとしては、メールの誤送信があります。これに対しては、添付ファイルを自動的に暗号化するようなソリューションが対策となります。「誤操作」は他にも色々と考えられますので、それぞれに対策が必要です。

サイバー攻撃などによる「不正アクセス」に対しては、ネットワークセキュリティとしてWAFやIPS、エンドポイントセキュリティとしてアンチウイルスなど、多層防御が必要とされています。

一般的な個人情報漏洩対策の問題点

個別の対策はコストがかさむ

個人情報漏洩の原因は主に、「紛失・盗難」「誤操作」「不正アクセス」が挙げられます。これらへの対策としては以下のようなことが一般的です。PCやUSBメモリ等の「紛失・盗難」に対しては、ディスクの暗号化。「誤操作」は想定される誤操作それぞれへの対策。例えばメールの誤送信やウェブサイトへの誤掲載等。サイバー攻撃などの「不正アクセス」にはファイアウォールやアンチウイルス等での多層防御。こういった対策は、個別の原因に対しては有効ですが、すべてに有効なわけではありませんので、網羅的に行う必要があります。必然的に費用は増大し、業務は煩雑になってしまいます。

サイバー攻撃は防げない

サイバー攻撃は複雑化・巧妙化の一途を辿っています。対策は常にいたちごっこですし、ゼロデイアタックや標的型攻撃、ランサムウェアなどを完全に防ぐことはほとんど不可能に近いのです。原因を減らしていくよりも、個人情報そのものを保護するほうが効果的です。

個人情報がどこにあるのか

個人情報を保護したい場合に、そもそも個人情報がどこにどの程度あるのかを把握することが必要になります。ファイルの所在はファイルサーバーからローカル端末まで様々ですし、一つ一つのファイルに個人情報が含まれているかどうかを判断するのは、途方もない作業です。また、一度個人情報の所在を把握したとしても、これを継続的に行い適切に運用されているかを確認し続ける必要があります。

業務効率が落ちてしまう

通常、セキュリティと利便性は相反します。個人情報を含むファイルを保護しようとして、利便性を低下させたり、業務フローが複雑化したりすることはよくある話です。こういう対策は、そのうち例外や抜け道が作られ、形骸化してしまいます。

そこで P-Pointer × DataClasys

個人情報を見つけて暗号化

個人情報検出ソフトウェア「P-Pointer」で「どこに」「どのような」個人情報が「いくつ」存在しているのかを洗い出し、機密情報保護・管理システム「DataClasys」でそれらを暗号化することで、個人情報を含むファイルにもれなく高度なセキュリティを施すことが可能です。

暗号化された後も個人情報が含まれるかどうかをチェック可能

通常、暗号化されたファイルは暗号化される前と同様に個人情報を含むかどうかを検出することはできなくなってしまいますが、DataClasysで暗号化されたファイルであれば、P-Pointerで暗号化前と同様に個人情報を含むかどうかをチェックすることができます。これは個人情報にセキュリティを施した後の運用が正常に行われているかどうかの監査等に役立ちます。

業務に影響を与えない

DataClasysで暗号化されたファイルは、ファイルの拡張子やアイコンが変わったりはしません。ファイルを扱うアプリも変わりません。暗号化前と変わらない操作で業務を行うことができますので、業務に影響を与えることなくセキュリティを高めることができます。

ファイルが流出したとしても

万が一個人情報を含むファイルが外部に流出したとしても、データは暗号化されていますので、個人情報は漏洩しません。個人情報保護法でも、流出した個人情報に高度な暗号化が施されていれば漏洩とは見なされず、報告義務は発生しません。DataClasysによる暗号化はこの高度な暗号化に該当します。

根本的な対策なので低コスト

個人情報自体を暗号化して保護しますので、すべての個人情報漏洩の原因への対策となっています。個人情報の漏洩原因への個別の対策では運用が煩雑になり、コストも高額になってしまいますが、DataClasysによる暗号化であれば、低い費用かつ低い運用負荷で根本的な対策を打つことが可能です。

お客様の声

某信用金庫様

暗号化されていることを意識することなく利用できるので、利用者からの問い合わせも少なく、システム部門としては非常に助かっています。

某労働金庫様

利用や運用にほとんど手間が掛かりませんし、万が一ファイルが流出してしまっても、中身の情報は暗号化されており漏えいしませんから、セキュリティを管理する立場としても安心感が増しました。

某商工会議所様

ファイルフォーマットの網羅度という点においては、他の比較製品とは比べ物にならないほど充実していることが実感できました。費用対効果の面でも優れた製品だと感じました。

某証券会社様

P-Pointerとの連携により、個人情報に絞って暗号化できるという点に魅力を感じ導入を決めました。機密性の高いファイルを選んで暗号化できるところがポイントだと思います。

個人情報漏洩対策の
実際の運用事例が
わかる資料はこちら