ウイルス対策や各種のセキュリティ設定といったデジタルセキュリティ対策の不備は、ビジネスの世界では3つの重大なリスクを生む。ひとつは、ウイルス感染後の対応作業やシステムトラブルの復旧作業に時間と費用が奪われること。そして、データの盗難による情報の漏洩。さらに、これらの事態が周知されることによって、企業イメージが大きく低下することである。

最近では、個人情報保護法や企業統治の観点等からも「情報漏洩」が大きな問題となっている。たとえば昨年、こんな事件があった。

246人分のメール情報漏洩、非公開設定怠る（2007年07月18日）

名古屋大学は18日、教育学部と大学院教育発達科学研究科のメーリングリスト（ML）で送受された過去のメールが、部外者もアクセスできる状態になっており、メールを書いた学生や教職員の氏名、メールアドレスなどの個人情報が漏洩（ろうえい）したと発表した。同大はすぐに外部からのアクセスを遮断し、検索サイト「グーグル」に保存されていたデータの削除を同社に要請した。

全文を見る

情報漏洩には、悪意を持った人物によって意図的にお膳立てされるものと、意図せずたまたま条件が整ってしまうものとがある。上の事件は後者、「意図していなかった」ケースだ。本来外部に見せるべきではない情報が「部外者も見られる状態」になっていた。

漏洩した内容は、本来電子メールのメーリングリストとしてやりとりされていたもので、通常ならメーリングリストのメンバー以外は受信できない。しかし、このメーリングリストを運用するサーバーには「過去の内容をウェブページとして公開する」機能があった。サーバー移設時にこれを無効にしなかったため、自動的に外部から閲覧可能なウェブページが作成されてしまったようだ。

これに気付いた大学はそのデータを外部から見えないように再設定したが、同時に『検索サイト「グーグル」に保存されていたデータの削除を同社に要請』している。なぜだろうか。

グーグルやヤフーに代表される検索サイトは、ウェブ検索のサービスを提供するために、365日24時間、アクセス可能な世界中のウェブサイトから情報を集めてデータベース化している。情報収集は機械的に行われているため、今回問題となった情報もデータベースに登録されてしまったのだ。そのままにしておくと、検索キーワードさえ該当すれば、その情報が検索結果に並んでしまう。だからデータの削除を依頼したわけだ。

ただし、それまでの数日で、すでにその情報を自分のパソコンにコピー済みの不届き者がいるかも知れない。それがまた、他者の手に渡り続けるというリスクは残る。

昔の人は「人の噂も七十五日」と言ったが、「漏れたデータは永遠」なのだ。秘密にしたいデータは最初から確実に「関係者以外立ち入り禁止」にしておかねばならない。

「見せる情報」と「見せない情報」を正しく分けて保存し、「見せない情報」は確実に見えないようにしておくのが大前提。その上で「通信相手」を種類分けし、「Aのグループは対外資料しか見せない」「Bのグループは重要度の低いデータだけ」「Cのグループは機密情報もOK」といった基準を設定する。適切でない相手がデータにアクセスした場合に備え、暗号化しておくという手段もある。同時に個々の社員も「パスワードを第三者に知られないよう努める」などのセキュリティ意識を高める必要がある。

金庫を買っても、大事なものを入れていない、入れても鍵を掛けない、鍵を目立つ場所に置いておく、というのでは意味がない。デジタルの世界も同じだ。

著者プロフィール

斎藤幾郎
フリーライター。パソコンやインターネット等の初心者向けの解説記事を中心に手がける。現在、朝日新聞土曜版「be」で「デジタル若葉マーク」を連載中。同紙「てくの生活入門」にも寄稿。近著に「パソコンで困ったときに開く本2008」（アサヒオリジナル）「グーグル100%利用術」（朝日文庫）「てくの生活入門」（講談社、一部を担当）などがある。

1. 壱の鍵：データ漏洩は75日じゃ収まらない
2. 弐の鍵：データだけでなくパソコンも守れ
3. 参の鍵：利用者の「知識」と「意識」も鍛えよ
4. 四の鍵：「見た目が同じ」だけでは安心できない
5. 五の鍵：ケアレスミスが招く情報流出
6. 六の鍵：パスワード泥棒に注意

• トップページへ戻る