2006年12月23日土曜日

昨日、日産自動車から過去最大規模の情報漏洩があったと報道されました。この漏洩事故が、今後どのように展開していくか、注視していく必要がありますね。個人情報、漏洩させないことが、その対策の主眼でしたが、別の観点からの施策が必要になってきた気がします。

以下は、2006年12月22日の産経新聞Webからの引用です。

日産の顧客情報流出 DMで注意喚起へ
顧客情報が流出し、記者会見で頭を下げる日産自動車の戸井田和彦常務(中央)ら=21日午後、東京都中央区の日産自動車本社
 日産自動車は21日、顧客情報が社外に流出した可能性があると発表した。名前や性別、住所、所有車情報などで流出した顧客数は不明。過去に使用していたデータベースから流出した可能性があるため、このデータベースで管理していた約538万の顧客全員にダイレクトメールを送り、注意喚起を図る。
 同社によると、今年10月末に発売された週刊誌に顧客情報流出の記事が掲載されたことを受け、社内調査を開始。記事中に社内のみで使用している車種記号が記載されていることなどにより、平成15年4月から17年12月まで使っていた旧データベースから情報が流出した可能性があると判断した。
 データベースを利用できる社員は業務委託先の従業員を含め11人。聞き取り調査も進めたが、委託先を辞め、連絡が取れない人もいるという。日産は警視庁に被害について相談、流出の経緯などをさらに調べる。
 週刊誌の報道を受け、これまでに問い合わせが10件あり、うち3件は架空の請求書が届いたとしている。


一年前まで使用していたDBからの漏洩したいうこと。DBの利用者を11人に限定してので、情報の漏洩に関して全くの無策であった訳ではなさそうです。とう言うか、need-to-knowの原則に従い、良く考えられていたと言えるのかもしれません。しかし、権限が認められている担当者が漏洩に関与したならば、これを防ぐことは出来ません。
そこで、漏洩をさせない対策も引き続き大切ですが、漏洩してしまった場合に、情報主体者のリスクを軽減する施策も考えるべきかと考えています。
個人情報の漏洩が絶えないのは、個人情報に金銭的価値があるからねですね。
DATA     - 情報が無秩序に集められている状態
Information - DATAが整理された状態
Intelligence - Informationに付加価値がついた状態

上記は、私が過去にあるセミナーで聞いた情報の分類で、非常に感銘をうけました。個人情報が漏洩するのは、氏名や住所だけでなく、家族構成や収入、口座番号、クレジット番号などが集約された状態で保存され、まさにIntellienceだからですね。そこで、個人情報法を保存する際に、Intelligenceから一旦、DATAの状態の戻してしまい、バラバラに保存し、一部が漏洩しても利用価値が低く、悪用されないようにすること、つまり情報を分散保存することも考慮すべきかと考えています。
例えば、個人情報の氏名、住所(住所も都道府県、市町村、番地を分割)、電話番号、その他の属性情報、付帯情報など分割し、IntelligenceからDATAの状態に戻して別個に保存するのです。それも、Diskを物理的にも分離する、サーバーを別にすることも考慮します。そうすれば、個々の情報が漏洩しても、殆ど無価値に近く、悪用されるリスクも軽減できます。分割された全ての情報を盗み出し、それを繋ぎ合わせるのは不可能でなくとも困難であることは確かでしょう。リスクをゼロにすることはできないにしても、近づける努力が必要です。
ITとは、ひたすら合理化省力化効率化を目的としてきました。この分散管理は、少なくとも効率化には反することです。しかし、個人情報jの漏洩によって生じるリスクとのバランスで考えれば、効率を犠牲しても考慮するに値すると、私は考えています。
漏洩防止対策、今後も必用ですし、改善の努力は継続しなければなりません。しかし、それだけでなく、漏洩してしまった場合のリスクを極小化する対策も必用ではないでしょうか。
諸賢のご意見を寄せて頂きたく思います。
 

1 件のコメント:

  1. SECRET: 0
    PASS: 74be16979710d4c4e7c6647856088456
    史上最高の864万人分の個人情報を流出させた大日本印刷もすごい。
    窓から風に乗せて、5人分の書類が飛ばされたハローワーク川越には呆れる。
    事件捜査で入手した個人情報計約610人分が流出させた山梨県警は論外。
    私有パソコンから、患者約150人の個人情報を流出させた
    東京大学医学部付属病院の医師も意識が低すぎ。
    「NHKのど自慢」の出場者1269人分 の個人情報を流出させたNHKに
    受信料銀行振込なんかにしていたら、口座情報まで漏れそうで怖い。
    などと思っていたらこんなのがあった。出版社「ダイヤモンド社」のホームページ。
    http://www.d-vision.ne.jp/
    同社の「D-VISION NET」というデータサービスらしいが、「有力企業8万社、
    19万事業所、役員・管理職29万人の豊富なデータベースを収録」とある。
    え!?個人情報って流出させるのはいけないのに、売るのはいいの?
    一方、こんなページまである。
    http://nomoreijime.web.fc2.com/shousetu_04.htm
    ここの“脱法ドラッグ”並みの言い訳というあたりを読むと愕然とする。
    いったい個人情報保護法って何なの?

    返信削除