○個人情報漏えいの2/3は、紛失・置き忘れと盗難

JNSA(NPO日本日本ネットワークセキュリティ協会)が2006年8月に発表した「2005年度情報セキュリティインシデントに関する調査報告書」によれば、個人情報の漏えい原因は

1位：紛失・置き忘れ(42%)

2位：盗難(26%)

3位：誤操作(12%)

であった。1位と3位を合わせると、個人情報を保有する側の「人的ミス」による原因が半数以上を占めているのがわかる。特に「個人」の意識の低さ、甘さにより引き起こされていると推察できる。

また、個人情報の漏えい経路は

1位：紙媒体(50%)

2位：PC本体(17%)

3位：可搬記録媒体(16%)

4位：ネット(13%)

であった。2005年あたりからWinnyなどファイル交換ソフトに起因する情報漏えいが騒がれているが、公表されたインシデント全体でのネットワーク経由での流出割合は、それほど高くない。

>>JNSA　2005年度 情報セキュリティインシデントに関する調査報告書
http://www.jnsa.org/result/2005/20060803_pol01/index.html

○原因・経路別の最近のインシデント
これらの原因・経路別に、最近、起こった事件・事故をいくつかピックアップしてみた。もちろん、ここに紹介したのは、ごく一部である。

紛失・置き忘れ

• 三菱東京UFJ銀行85支店で、約96万件の個人情報を含む資料が誤廃棄とみられる紛失により所在不明
• セブン銀行で、4万件以上のATM取引情報を記録したMOディスクが所在不明

盗難

• NTTドコモ販売代理店で、約4万件の顧客情報入りUSBメモリが車上荒らしにより鞄ごと盗難

誤操作

• 医療人材サービス会社キャリアブレインで、購読者5872名のリストを誤ってメルマガに添付して配信

• テレビ朝日で、音楽番組関係者108名がWinnyにより流出
• テレビ東京で、番組関係者や取材先情報47名がWinnyにより流出

○人的対策と技術的対策のバランスと、日々の地道な努力でセキュリティ向上を

2005年4月の個人情報保護法の施行前後から、組織の対策も本格化してきた。ルールの作成、入退室管理やアクセス制御の強化、セキュリティ対策ソフト・ハードの導入等である。
今まで、そしてこれからも技術的対策に相当の予算をつぎ込んでいく組織は多いだろう。

しかし、多くの組織がルールの中で持ち出し制限をかけているにもかかわらず、持ち出してしまう、という現状。車を離れる時、自分の財布は携帯しても、個人情報が入っている鞄は車内に残してしまう、という現状。

インシデントの内容を見る限り、置き忘れや車上荒らしという携行中の事故を減らす対策を、最優先に実施すべきだ。そうすれ、半数以上のインシデントは防止できるだろう。具体的には「ルール徹底」と「意識向上」という、地道な啓蒙を繰り返し行っていくことに尽きる。

それらと合わせて、責任の所在の明確化、ルールを守らない場合や事故を起こした場合の厳罰化により、抑止力を高めていくようにする。

人的対策を中心とする「非」技術的対策と、技術的対策とのバランスをどうとっていくかが重要である。