ファイル共有ソフトWinnyを導入したパソコンからウイルスによって個人情報を含むデータが漏洩する事件が後を絶たない。「ファイル共有ソフトを使っていない」「ウイルス対策ソフトで守っている」という人も安心するのは早い。もっと単純な原因で情報が漏洩してしまうことがあるのだ。
たとえば10月には、こんな事件があった。
成績不振654人の情報、職員持ち帰り紛失(2008年10月6日)
大阪経済大(大阪市東淀川区)は6日、全学部の成績不振な学生計654人の個人情報を記録したUSBメモリーを、教学部職員が紛失したと発表した。指導に生かすため、昨夏の前期試験で成績がよくなかった学生の氏名、学年、組、修得単位数が保存されていた。流出による被害が出たとの情報はないという。
大学によると、職員は5月初め、メモリーに入っていた写真を印刷するため自宅に持ち帰った。紛失に気づいて同月半ばに自分で警察に届け出たが、8月下旬まで上司に報告しなかった。連休明けの出勤途中で紛失した可能性が高い。大学の聞き取りに「申し訳ない気持ちが強く言い出せなかった」と話したという。
教学部では、原則として個人情報は外付けの記録媒体に保存せず、持ち帰るときは上司の許可を得る運用をしていたという。同大学は職員の処分を検討している。教学部は「個人情報の管理に問題があり、紛失後の報告も遅れ、学生に大変申し訳ない」としている。
記事中の「USBメモリー」は「USBフラッシュメモリー」とも呼ばれる小さなデータ記録装置だ。ひとつあたり1〜4ギガバイト程度の容量を持つ製品が数千円で売られており、デジタルカメラで使うメモリーカードと同じような使い方ができる。メモリーカードを使うにはカードの規格にあったカードリーダー(読み書き装置)が必要だが、USBメモリーはパソコンのUSB端子に直接さして使えるのが利点。すでに使っている人も多いことだろう。
職場のファイルを自宅に持ち帰ったり、同僚にファイルを渡したりするのに便利なUSBメモリーだが、小さいだけに紛失しやすいのが悩みの種だ。
今回の事件では、紛失したメモリーから流出した情報による被害は出ていないという。中のファイルが開かれることなくゴミと混ざって捨てられたならいいが、「まだ被害が明るみに出ていないだけ」かも知れない。データはコピーによって半永久的に残るため、紛失した職員の自宅などでUSBメモリーが発見されない限り、関係者は安心できない。
紛失するということは、盗まれる可能性もあるということだ。実際、10月には遊ぶ金目的の高校生グループが学校の職員室から現金などと一緒にUSBメモリーを盗み出して逮捕されるという事件もあった。「もののついで」的な盗みだが、個人情報目的でUSBメモリーや外付けハードディスクを狙う泥棒が現れても不思議はない。
USBメモリーなどの紛失や盗難を防ぐ努力は必要だが、それ以上に重要なのが「それが起きてしまったとき」の被害を最小限にすることだ。シンプルな対策は「第三者にファイルの中身が読めないようにする」ことだ。
ワードやエクセル、あるいはPDFといったファイルは、保存時にパスワードを設定して暗号化する。そうしたファイルを開くにはパスワードを入れなければならず、簡単には情報が漏洩しない。個人情報や機密情報などを含むデータは、テキストファイルのように暗号化されないファイルには保存しない。保存する場合は別途暗号化ソフトなどを使う。
メモリーへの記録そのものを暗号化することで、個々のファイルの暗号化を不要にできるUSBメモリーもある。使用するパソコンに暗号化用の専用ソフトをインストールして使うもの、USBメモリー上の指紋センサーに登録した利用者しか使えないものなどがある。後者はパソコンにソフトを入れずに済むが、ひとつ数万円と高価なのがネックだ。(指紋センサー付きのハードディスクもある。)
視点を変えると、そもそも機密性が高いデータを簡単に持ち出せる(コピーできる)のはセキュリティ上問題がある。USBメモリーを紛失しなくても、ファイルをコピーした家庭のパソコンなどからデータが漏洩してしまう危険が避けられないからだ。重要なデータは持ち出せなくする必要もありそうだ。
記事によると、今回の事件が起きた大学では「原則として個人情報は外付けの記録媒体に保存せず、持ち帰るときは上司の許可を得る運用をしていた」というが、チェックする仕組みが無く運用ルールは機能していなかったようだ。
一般に、業務で情報を扱う場合、ルールを守ると実務上の手間が増える反面、ルールを守らなくてもトラブルが起きなければ表面上問題がない。そのため、「やればできてしまう」状態では、単に「○○は禁止」と言われても隠れてやってしまう人が必ず出る。情報保護の観点では、ルールを定めるだけでは足りない。扱う情報の重要度によっては、ルールを守らせるためのシステムの導入も考えねばならない。
企業向けのソリューションとしては、指定ファイルの外部ディスクへのコピーを遮断する、ファイルのコピー履歴をサーバーで監視する、USBメモリーの接続自体を無効化するといったセキュリティ対策がある。専用ソフトやパソコンの機能を使う。また、個々のパソコンにデータを保存させず、サーバーで一元管理するのも効果がある。
このような高度な対策は、金銭の受け取りや嫌がらせを目的とした、内部犯行による「意図的な情報漏洩」を防ぐ効果も期待できる。しかし、その一方でデータの利用が制限されるため、データを自宅に持ち帰って仕事の続きができないなど、日常業務に影響が生じることは避けられない。
システムを導入する際には、利用者にシステムの意味や必要性を説明すると同時にセキュリティに対する意識を高めてもらって理解を得る。さらに、情報保護と実務のバランスを考慮し、データの種類によって柔軟なシステム運用ができるよう工夫することが大切だ。