3月12日,大日本印刷の業務委託先の元社員が,クレジットカード番号などの個人情報を863万件持ち出していたことが明らかになった(関連記事)。この元社員は,2001年5月から2006年3月まで,販促用ダイレクトメールを取り扱う電算処理室内に勤務し,顧客から預かった個人情報データを不正に記憶媒体に書き出し,持ち出していた。

 社員の内部犯行による個人情報漏えい事件が後を絶たない。内閣府国民生活局個人情報保護部会の調査によれば,事業者が公表した個人情報漏えい事案の件数は,2004年度に405件だったものが,2005年度には約4倍の1556件に急増した。このうち従業員による漏えい事件が約8割を占めている。

 2005年4月に個人情報保護法が全面施行されて2年が経つ。企業による情報漏えい対策は枠組みこそ出来上がったものの,その実効性にはまだ問題が多いのが現状だ。

 過去に個人情報漏えい事件を起こしているKDDIは,内部統制システム構築の基本方針の中で顧客情報の漏えい防止を掲げている。このように「内部統制」の観点から個人情報保護対策に取り組む企業は多い。だが,大枠の考え方は正しいが,それだけでは不十分という見方もある。

 情報漏えいや横領など,コンピュータを利用した不正事件の調査を専門に手がけているUBICの守本正宏社長はこう提言する。「内部統制システムによって,法令・規則を遵守する大多数の社員を犯行から抑止することはできるだろう。しかし,それだけで悪意を持ったごく一部の内部犯行者を抑止することはできない。緊急即応(インシデント・レスポンス)をいつでも実行できるようにすることが,今,企業に求められている」。

初期対応と証拠保全がすべて

 UBICは,ネットワークやPCにおける証跡データを収集・解析する技術(コンピュータ・フォレンジック)による不正調査や訴訟支援を専門に行っている。内部告発あるいは外部からの通報によって“火種”を抱えている企業の情報セキュリティ部門にとって,まさに“駆け込み寺”のような存在だ。

 内閣府の統計に出てくる情報漏えい事件は氷山の一角で,その10倍ものトラブルが水面下で起きているとも言われる。実際,UBICへの調査依頼もここ数年飛躍的に伸びた。2004年の依頼件数は数十件程度だったが,2006年度は約200件に達した。

 「だいたいマスコミなどによって事件が表面化する半年くらい前に,当社に調査依頼が来る」と,守本氏は話す。調査依頼の約半数が情報漏えいに関する案件,あとの半数が知財問題や横領,不正会計などだ。全体の約8割の案件については,調査・解析によって不正を摘発できるが,残りの2割ほどは証拠隠滅その他によって摘発に至らないという。

 内部犯行を未然に防ぐ,あるいは被害を拡大させないために,企業はどうすればよいか。「インシデント・レスポンス体制――有事の場合の初期対応と証拠保全――が何よりも肝要」と守本氏は説く。他の犯罪と同様,コンピュータを利用した不正行為においても初期対応がその後のすべてを決するといっても過言ではないのである。

 インシデント・レスポンス体制を制度・組織面からいえば,「1.リスクアプローチによる基本方針を徹底させる──何が問題で何を守るのか」,「2.緊急対応責任者とチームを決めておく──権限委譲の明確化」,「3.有事規則を決めておく──社員の自宅捜査などの有事対応など」,「4.対応のマニュアル化──誰が,いつ,何を報告するか」などが挙げられる。

 問題は,運用面である。「犯罪は“人の心”が起こすもの。怨恨や経済的な問題などの動機があり,共謀者との利害関係など様々な要因が絡み合い,犯行に至る。コンピュータはただの道具であり,異常をシステマチックに発見することは難しいと考えた方がいい」と,守本氏は釘を刺す。

 ポイントの1つ目は,「兆候をできるだけ早く察知すること」。最近は,情報の漏えいや不正利用などの苦情を電話やインターネット上で受け付けているところが多いが,これらは外部からの告発を入手する窓口として有効だ。ただし,いたずらや過剰反応も多いため,有効な情報を見極める眼が必要となる。また内部告発の制度も有効だが,告発者の権利保護を十分確保した上で進めていく。

 2つ目は,不正を察知した場合に「初動調査を速やかに行うこと」。通報者への事情聴収やフォレンジック・ツールを使ったログ/アクセス解析などを行っていく。ここは,できるだけ内密に事を進める。“内部犯行者”が調査が行われていることに気づけば,直ちに証拠隠滅を図ろうとするからである。

 UBICのような専門の調査会社が入るのはこの段階で,通常3日~7日で調査は終わる。ここで不正の証拠を押さえることができれば,緊急対応チームを発動させ,不正が疑われる社員への事情聴収や家宅捜索などの本格調査に移行する。

 実際問題として,企業が異常を察知するタイミングは相当早くなっている。「依頼された不正調査の9割は外部公表されずに,内部の問題として処理されている」(守本氏)。発見が早ければ,問題を外部に公表するか,内部的に処理するか,取捨選択する余裕が生まれる。逆にマスコミなどに事件が取り上げられてからでは,あらゆる対応が後手に回ってしまう。

不正を未然に防ぐ努力も必要

 このように体制を整備しても,すべての犯罪を防ぐことは難しい。ある事件では,情報セキュリティ本部長という経営の中枢にいる人物が,自社サーバーにウィルスを埋め込んで故意に破壊,自社に損害をもたらした。怨恨による犯行であり,高度なアクセス権限を持っていたため,調査が非常に困難だったという。この会社では,就業時間後の夜間に疑わしい業務PCを調査し,証言の食い違いや個人メールをチェックし,最後は自宅PCの調査を行って証拠を押さえることができた。

 最近増えているのは,退職する社員が転職先への“おみやげ”として顧客情報や技術情報などを不正に持ち出すケースだ。ある事件では,退職意思を確認した数日前に顧客情報を業務PCにダウンロードしたこと,技術情報を個人メールに転送した後で業務PCからデータを削除したことなどが,調査によって判明した。

 こうした不正を未然に防ぐための抑止力として運用したいのが,企業内部の不正行為に対する監査である。「会社支給のPC,少なくとも転職者や退職者が使用していたものについてはフォレンジック・ツールを使って調査するべき」と,守本氏は主張する。退職すると同時にPCデータを消去する企業が多いが,これは危険な行為である。

 個人を脅かすコンピュータ犯罪同様,企業の情報セキュリティ部門にとっても万能のシステムや技術などは存在しない。先に紹介したような犯行の手口や事件に関する情報を日々収集し,自社のセキュリティ管理体制に反映させていくという地道な努力が必要だ。