こんにちはsaiです。本日「ポルシェ日本法人のデータベースに不正アクセス、個人情報が漏えい」のニュースが流れました。漏洩件数は2万8722件です。
個人情報はしっかり管理され会社側で守られていたはずでしたが何者かにサーバに不正に入られちゃったみたいね。個人情報はどんなに厳重にしても100%守れません。
今回のように企業が漏洩事故が出ると相次いで発表するのは企業がPマーク取得しているからです。これは事故が発生したら速やかに漏洩の事実を報告しなければならないルールになっています。そのため発表せざるおえないのです。
私も前職にてこのPマーク取得に携わっておりました。「我が社もPマーク取得しよう!」と始まって、計画をたて取得まで準備期間2年くらいかかったかな。社内の個人情報の洗い出しやら、フロー作成したり、社内のセキリティゾーンを作ったり・・書ききれないほどあります。めちゃ大変です。自分の仕事もあるのでその片手間でやるのだが、半端ない時間が割かれます。まず担当者を決めます。あなたは監査員、教育係、システム係、責任者、総責任者・・・などなどとにかく大変だったことしか思い出せません。
取得後も例を挙げれば、毎日部屋の入退出の記録、時間名前等を残します。教育係りなら毎年何の教育を行ったか、すべて記録にして残します。中には試験を行って認識度を確認するものもあります。企業向けeラーニングも沢山実施しました。
私はシステム管理者を担当しておりましたがサーバへのログインはすべてログを残します。誰がいつアクセスしたか記録を残さなくてはなりません。PCにおいてアップデート最新版は必須、サーバ側で管理されているので最新版でないと指摘対象になる。BIOSパスワード設定必須、ウィンドウズログインパスワード定期変更は当たり前。
特別な部屋の入出は静脈認証で管理です。玄関もカードで入出になりました。すべて個人のログが残ります。いつ誰が入出したか記録されます。
このようにありとあらえる事を行っても、漏洩事故はなくならないのです。一番は人間がミスを犯すからです。どんなミスか。例えばメールが来て不用意に添付品を開いてしまう。これは仕込まれた場合ですが、開いたことによってウイルス感染で漏洩と考えられます。企業はある種の拡張子数十種類は送付を禁止しています。例:exe.ade.adp.app.asp.bas.bat.cer.chm.cmd.cnt.com.cpl.crt.csh.der.diagcab.fxp.gadget.grp.hlp・・・
これらはほんの一部で企業によってまちまちです。相手先に送付する場合は確認が必要です。
問題は人間が故意にデータを持ち出すことです。現在は便利な時代になって小型で簡単なUSBみたいなもので持ち出せます。それも大量のデータです。許可を得ずかってに持ち出し紛失なんて事は数多く二ユースに流れます。やはりリスクの教育が一番大切だと思います。事故を起こすのは人間です。
話を戻しますが今回のポルシェ日本法人が起こした漏洩件数は2万8722件でしたよね。簡単にニュースになってこれだけでは終わりません。仮にお客様に1,000円の迷惑料として図書券を送付したとして、図書券1,000円+切手代82円×2万8722件=31,077,204円です。ポルシェが1,000円かは分かりませんがお金もかかります。一番は企業イメージダウンが大きいのではないでしょうか。
それだけ大きな事故になるわけです。もっとセキリティにお金をかけ、強化して下さい。
Leave a Reply