IPAではこれまで偉そうに「セキュリティ対策を推進しており、特にファイル交換ソフトの利用については、ウイルス感染によってPC内の情報がインターネットにさらされる危険性を訴えてきた。」のだそうですが、現実は以下の通り。
IPAで当該PCを解析したところ、「Winny」「Share」両アプリケーションのフォルダが確認された。職員本人の説明によると、「フリーウェアのダウンロード」を目的にファイル共有ソフトウェアを利用したというが、解析の結果、仮名漢字変換ソフトの「ATOK」などのキーワードでファイルが検索されていたことが明らかになっている。また、私物PCにウイルス対策ソフトは導入されていたというが、「定義ファイルの更新頻度は非常に低い。最新のものに更新していれば、普通に防げたはずだった」(IPA セキュリティセンター長 山田安秀氏)。
IPA職員の私物PCからの情報流出、事実関係を説明 ? @IT
で、対策は以下の通りだと言います。
IPAでは、業務に関する情報の取り扱いについて、自宅PCへのコピーを禁ずるほか、業務用PCの持ち出し禁止(許可制)、私物PCや周辺機器、USBメモリ持ち込みの禁止といったルールを定めていた。また採用した職員に対しては、新人研修の一環としてセキュリティに関する研修を行うほか、朝礼などで折に触れ、セキュリティの話題を取り上げていたという。
ただ、こうしたルールの対象は、あくまでIPAの資産である業務用のPC。職員の私物PCについてはその枠外にあった。
IPAでは再発防止策として、自宅PCにおけるファイル共有ソフトの使用を禁止するほか、研修などを通じてセキュリティ意識のさらなる向上に務めると述べた。職員に対して書面で、「自宅PCでファイル共有ソフトを使用していないこと」の確認書を取るという。
プライバシーをはじめ法制度との兼ね合いもあり、職員の生活すべてを監視下に置くことは難しい。しかし「社会的使命ある組織の場合、家庭において私物PCを使う場合であっても、一定の規律を求めることが重要である」(山田氏)と判断し、こうした措置をとることとした。ただ、これが一般的な企業にまで適用できるかどうかはケースバイケースであり、退社した職員が保有する業務関連情報の扱いも含め、今後の議論が必要となるだろう。
IPA職員の私物PCからの情報流出、事実関係を説明 ? @IT
これまで情報流出してしまったところの多くも、情報流出の危険性とリスクの教育をやっていたと思います。でも、漏れちゃう。実際問題、個人のパソコンの状態まで管理できないんですよね。
で、業務ファイルを持ち帰ってしまい流出してしまう。事後になって監視ログソフトから該当ファイルを誰が持ち出したか、を追えるのですが、事前に防ぐことは不可能です。
本当にそれをやろうとすれば、すべてのファイルを社外に出す時に上司決裁を必要とする。という事になります。そしてログに記録後持ち出す。という事になります。これは電子メールもFAXも印刷もメディアへのコピーもすべて該当します。
こんなの不可能です。
IPAですら再発防止は「教育の徹底」としか言えないんですから、これが限界なのでしょう。あとはログ監視ソフトを取っている事を周知し牽制しつつも、万が一漏洩した場合の損害賠償を個人に請求する。などの法整備という事後の対策しかできないでしょう。
もうこうなると一企業だけの問題ではありませんね。個人情報保護法をもっと使えるものにしてもらわないといけませんね。
