連日、報道され世の中に大きなインパクトを与えたベネッセコーポレーションの個人情報の漏えい事件。顧客リストを用いてビジネスを行うネット販売実施企業にとっても他人事ではなく、仮に同じ轍を踏むことになれば、ベネッセと同様、大きな打撃を受けることは避けられない。ではEC実施企業各社の個人情報の管理体制とは現状、どうなっているのだろうか。有力事業者を中心に匿名で緊急アンケートを行った。
主要EC各社に緊急アンケート調査・個人情報管理体制とは
個人情報へのアクセス、制限・条件・チェック体制とは?
個人情報の内部漏えいはどう防ぐ?
ベネッセの情報漏えい事件を受け、本誌では同様に個人情報を保有してビジネスを展開する主要なネット販売実施企業、約30社に匿名を条件に緊急アンケート調査を実施し、各社の個人情報の管理体制について調査した。
個人情報の内部から漏えいを防ぐポイントはいくつかあるが、有効な手段は基本的なことであるが、なるべく個人情報のデータベース(DB)にアクセスできる人間を減らし、アクセス時に何らかの条件も設定し、どのような人間がアクセスしているのかをチェックすることだ。
アクセスは特定者に制限
まず「DBにアクセスできる部署や役職は?」と尋ねると「エンジニア部門、運営部門、管理部門、カスタマー部門と多岐に渡るが、権限を細分化して個別の業務担当毎に切り分けて必要最低限を付与しており、権限管理はエンジニア部門長、管理担当責任者が牽制をきかせて管理」「アクセス権限はシステム部門で、レベル分けを行い、適切に付与」「業務上、お客様への対応を行う部署は個人情報の閲覧権限を付与しているがダウンロード権限は役職者及びシステム管理者に制限」「業務上アクセスする必要がある部門・従業員にのみ、必要な範囲で権限を付与。たとえ高位役職者であっても業務上必要ない従業員には、権限を設定していない」と一定の制限を設けている企業がほとんどだった。
監視カメラなどで制限・監視
ではそうしたDBにアクセスできる環境に対してどのような制限や条件を設けて、どうチェックしているか。
アクセス制限に関しては「ISO27001の認証基準に準拠した社内セキュリティ管理体制整備および各種管理策を実施。特に個人データの漏えいや滅失を防ぐために、サーバルームへは生体認証による入退室管理を行い、さらに重要サーバへのログインや操作のログを取得」「執務エリアへの入室にはセキュリティカードの他、静脈認証による制限を設けており、物理的なDBはクラウド及びセンター管理となっている。アクセス環境はパスワード管理の他複数の制限を設定しており、社外からのアクセスにも制限を設けている」「個人情報にアクセスできる端末について、設置場所を固定したうえ、その使用について、監視カメラによる監視・記録をしている。また、データの作成・修正・削除については、IDによる作業者の記録を残すかたちとしている」「PCのログ監視、個々のシステムでのID、パスワード設定等。(入退館管理は、データベースのアクセスとは別に全施設で実施)」「物理的なサーバに関しては、レンタルサーバの会社に入退出等の運営管理をしてもらっている」「入退室記録、電子カードキー施錠、2人以上で入室、監視カメラ。ログ記録、月1認証」「ログ管理ソフト、外部記憶媒体へのダウンロード時の自動暗号化制御、全社員への指紋認証装置、特権ユーザー管理、入退室のIDカードなど」「入室時の静脈認証システム、私物の持込制限など」「入退室管理、ログインID、PW、グループ専用ソフトによるメモリアクセスのアラート機能」「従業員のPCについて、システム担当者が予め、USBメモリ等記録媒体を物理的に接続不能とし、またCD-RW、DVD-RW等への記録も物理的に不能としている」「限定された端末・担当のみアクセスできるように指紋認証・知識認証・機種認証を行っております。執務室についてはICカードによる入退室管理を行っている」などの回答があった。
DBにアクセスする際の条件については「特別な条件はない」とする回答も目立ったが「システムアドミニストレータが顧客データベースにアクセスする際に、申請を行い、実際にアクセスしたログを取得、申請内容と作業内容に差異がないか確認を行う」「特定の端末からしかアクセスできないようになっている」「踏み台サーバを設け、そのサーバを経由しないとDBにアクセスできないようにしている。また、利用可能なIDは制限している」「従業員は原則として、デスクトップPCのみを使用。USBメモリ等記録媒体を物理的に接続不能とし、またCD-RW、DVD-RW等への記録も物理的に不能としている。例外的にノートPCを貸与する場合は、申請に基づき業務上の必要性の有無等を判断した上で承認している。また被貸与者からは個人情報を含む秘密情報保護のための誓約書を提出させている」などがあった。
異常なアクセスには警告音
DBへの異常なアクセスが発生した際の警告など、権限外の差作業が行われた場合、それを感知するための仕組みを導入しているのかを聞いたところ、「異常な処理があると、アラートが上がる仕組みを導入」「DBへのアクセスは権限を付与された人のみに限られており、権限外の人がアクセスすることはできない。また、アクセスについては監視を行い、特定の人が必要以上にアクセスを行っている場合は本人へ確認を行うルールになっている」「ルール外のアクセスについては、検知のうえ管理者に警告があがる仕組み」などの対応をとっている企業もあった。
なお、個人情報を扱う部署でのログ管理ソフトの導入の有無については、およそ半数の企業が「導入し定期的にチェックしている」としている。