IT資産管理

個人情報保護法の定期改正目前!内部不正対策について改めて考えよう

Written by 鈴木 菜摘

マーケティング本部にて主にLanScope Catの情報発信、企画推進を担当。サポート部門で勤務した経験から、「ユーザー目線」をモットーに活動しています!

個人情報保護法の定期改正目前!内部不正対策について改めて考えよう

ホワイトペーパー

LanScope Cat×L2Brocker
LanScope Cat×L2Brockerで実現する不正PC遮断

関連ページ

L2Blocker × LanScope Cat
不正PC遮断製品「L2Blocker」をおトクに導入しようキャンペーン

2020年は個人情報保護法の定期改正が行われます。
2015年に改正法が成立し、2017年に施行された現行法は、施行から3年をめどに見直しをすると定められており、2020年がその見直しの年に当たります。2019年11月には、改正法の骨子が発表され、法改正に向けた動きが本格化しています。

個人情報保護法は「個人情報取扱事業者」に対して適用されます。従来は個人情報の取り扱いが5000人分以下の場合は除外されていましたが、2017年の現行法より、個人情報を1件でも持っていれば「個人情報取扱事業者」となり、実質すべての民間企業がこの法律の対象となります。大和総研が発表した「2020 年の個人情報保護法改正の見通し」では、個人情報の漏えいに対する報告の義務化罰則の強化が検討されていると報告しており、早め早めの対策が必要です。

そこで今回は、個人情報の漏えいの大きな要因の一つとなる「内部不正」の対策について考えてみたいと思います。

内部不正の実態と事例

独立行政法人 情報処理推進機構(IPA)が発表した「セキュリティ10大脅威 2019組織編」によると「内部不正による情報漏洩」は、前年8位、一昨年5位と、毎年ランクインしています。
2020年版のランキングも1月下旬には発表される見込みですが、神奈川県の業務委託先企業の従業員の内部不正による情報漏えい事件があったこともあり、引き続き重要度の高い脅威としてランクインすることが予想されます。

「内部不正による情報漏洩」は、組織の従業員や元従業員等の内部関係者によって、顧客名簿や技術ノウハウ等の重要情報が、窃取・持ち出し・漏えい・消去・破壊・悪用されてしまうことをいいます。
身近な事例としては、現職や退職した従業員などが業務を通じて入手した個人情報や技術情報を持ち出し、不正に利用するケースがあります。

【事例】2019年3月
某スポーツ用品メーカーの元従業員が、ライバル企業への退職時に、社内サーバーに保管されていた製品の性能などの情報を記した約3万6千ものファイルを、自身の私用のメールアドレス宛に送信し持ち出し。不正競争防止法違反の疑いで逮捕された。取調べに対し、「自分の役に立つと思い不正入手した」と供述している

このように報道されているものは氷山の一角で、被害が顧客や取引先などに及ばなければ事件を公表されないケースも多々あります。しかし2020年の改正では、特に個人情報の漏えいについては、個人情報保護委員会への報告を義務図ける内容が追加される見込みです。

Ⅱ.事業者の守るべき責務の在り方

1.漏えい等報告及び本人通知の義務化
個人の権利利益の保護及び公平性の観点から、漏えい等の事態を個人情報保護委員会が早期に把握するとともに、本人において必要な措置を講じることができるよう、
一定数以上の個人データ漏えい等、一定の類型に該当する場合、速やかに個人情報保護委員会への報告と本人への通知を行うことを個人情報取扱事業者に義務付ける。

2.適正な利用義務の明確化
情報化社会の進展によるリスクの変化を踏まえ、個人情報取扱事業者は、不適正な方法により個人情報を利用してはならない旨を明確化する。

 ▲個人情報保護委員会:「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)」
  https://www.ppc.go.jp/files/pdf/191129_houdou_koshi.pdf

情報漏えいがひとたび発生・公表されれば、企業ブランドの失墜や賠償金の支払いなど、経営の根幹を揺るがす甚大なダメージを負うこととなり、十分な対策が必要です。

内部不正を未然に防ぐには

内部不正の対策としては、物理的な対策からセキュリティシステムの強化、コンプライアンスの教育など多岐にわたります。IPAがまとめた「組織における 内部不正防止ガイドライン」では、対策の5原則を以下のように定義しています。

  • 犯行を難しくする(やりにくくする):

    対策を強化することで犯罪行為を難しくする

  • 捕まるリスクを高める(やると見つかる):

    管理や監視を強化することで捕まるリスクを高める

  • 犯行の見返りを減らす(割に合わない):

    標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ

  • 犯行の誘因を減らす(その気にさせない):

    犯罪を行う気持ちにさせないことで犯行を抑止する

  • 犯罪の弁明をさせない(言い訳させない):

    犯行者による自らの正当化理由を排除する

中でも、そもそも内部不正を行おうという気持ちにさせない対策を行い、不正を未然に防ぐことが最も重要です。

そのためにおすすめなのが、操作ログ管理ツールによるPC操作ログの取得です。
同じくIPAが行った「内部不正行為防止に効果が期待できる対策」のアンケート(複数回答)では、約半数以上の54.2%が「社内システム操作の証拠が残る」を効果が期待できる対策と回答しました。PC操作履歴を取得し、自身の操作が監視されているという意識を従業員に持たせることにより、自ら不正行為を行いにくくする抑止の環境を作ることができます。

順位 割合※1 内容
1位 54.2% 社内システムの操作の証拠が残る
2位 37.5% 顧客情報などの重要な情報にアクセスした人が監視される
3位 36.2% これまでに同僚が行ったルール違反が発覚し、処罰されたことがある
4位 31.6% 社内システムにログインするためのIDやパスワードの管理を徹底する
5位 31.4% 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する

 ▲内部不正への気持ちが低下すると回答した回答者の割合。(社員:n=3,000)
  情報処理推進機構(IPA)「組織内部者の不正行為によるインシデント調査」

内部不正による情報漏えいへの対策は、従業員が不正行為を行わないよう「操作証拠が残る」「操作が監視されている」環境を作り、心理的な抑止効果を働かせることが有効です。

ただこの対策には課題があります。
情報システム部門の管理下にあるPCであれば、操作ログの取得が可能ですが、管理漏れでログ管理製品を導入できていない場合や、私物の持ち込みPCを使われた場合には、操作ログの取得ができません。

操作ログ管理ツールを利用する場合には、同時に管理外のPCを発見し、ネットワークから遮断する、不正PC遮断製品の利用がおすすめです。

【LanScope Cat×L2Blocker】特価キャンペーン実施中!

エムオーテックスの「LanScope Cat」は、PC操作ログの取得による内部不正の抑止が可能です。LanScope Catに加えて、連携製品である不正PC遮断製品「L2Blocker」を活用することで、「社内ネットワークに接続されている端末」イコール「LanScope Catによって管理されている端末」という環境を構築することが可能です。

現在、「L2Blocker」を新規にご購入の方に限り、通常定価の38%OFFで導入できる特価キャンペーンを実施中です。2020年3月末までの期間限定となりますので、お早めにお問い合わせフォームよりご相談ください。

不正PC遮断製品「L2Blocker」をおトクに導入しようキャンペーン

お申し込みはこちら

 

ホワイトペーパー

LanScope Cat×L2Brocker
LanScope Cat×L2Brockerで実現する不正PC遮断