2002年11月にUFJつばさ証券で顧客情報の流出事件が発覚した。個人情報漏えいの報道は後を絶たない。内部犯行は防げないものなのか――。正当なアクセス権限を持つ者が行為者になる場合,法的にもシステム的にも防止の決め手はない。一方,現状のリスクは高いが,多くの企業で認識されているとは言い難い。今,企業やSEがすべきことを探った。

図1●UFJつばさ証券における顧客データ流出事件
顧客情報が流出し,名簿業者で販売されていた。流出した名簿は,同社の前身の一つである旧東和証券3支店による2000年2月時点のもので,端末を使ってプリント・アウトされたと推定されている。事件は朝日新聞などが報道し,企業イメージや株価への悪影響があったと思われる
 2002年11月7日,UFJつばさ証券は警視庁丸の内署に,顧客名簿に関する窃盗の疑いで被害届けを出した(図1[拡大表示])。盗まれたものは「端末からプリント・アウトしたもののようだ」(同社 広報部)*1。顧客情報は実際に都内の名簿業者で販売されていた模様で,現時点で「既に警察に押収された」(名簿業者)。状況としては,内部犯行による情報漏えいである可能性が高い*2

 事件について,11月12日に朝日新聞が朝刊の一面トップで報じるなど各紙が報道した。株価への悪影響を報じる新聞もあったが,「UFJ銀行の国有化が取り沙汰されていたことなどの影響も考えると,事件の影響度は判断つかない」(広報部)。とは言え,情報の漏えいが顧客などからの信頼低下につながったことは確かだろう。

 内部犯行の多くは,アクセス権限を持つ者がデータを持ち出すという,一見単純な話だ。それが繰り返し起こってしまうのは,「管理がずさんなだけなのか」あるいは「防ぎようがないものなのか」――。実際に事件が発生した企業のほとんどはその原因や事件後の具体策を明らかにしていない。今回,個人情報の流出があった企業の状況やセキュリティ先進企業の現状,法律の問題を調査した。企業やシステム管理者は今,個人情報の漏えいにどう対処していけばよいのか,明らかになった点を報告する。

高リスクな状況が見えていない

 個人情報が漏えいした企業は,他社と比べて管理が“ずさん”だったのか。1999年5月に住民基本台帳のデータが流出した宇治市役所の企画管理部 情報管理課 課長の木村修二氏はこう振り返る。「“管理がずさんだ”と言われることもあったが,当時は外部の計算センターにデータを渡すようなことは一般的に行われていた。他と比べて特別“甘い”わけではなかった」

 データ流出は,乳幼児健診システムの開発で,孫請け会社のアルバイトがデータを持ち帰って作業したことから起こった。事件後,様々なセキュリティ対策を施したなかで,事件に対する直接の策は「データの市役所からの持ち出しを禁止し,かつ監視者がいる前で作業する」という方針につきる*3

 しかし今では「データの持ち出しに寛容であり過ぎた」(木村氏)と省みる。大量データが小さなメディアで容易に持ち運べる状況や,個人情報が高く売り買いされる状況をかんがみれば,判断は甘かった。

 だが,どれだけの企業があらかじめその時代でのリスクを認識できているだろうか。実際に身近で問題が起こらなければ,リスクを感じにくい。個人情報の漏えいに対するコンサルティングを実施するシーピーデザインコンサルティングの代表取締役社長 鈴木靖氏によれば「ある企業で事故が起こった際にその同業者から軒並み問い合わせがきた」と言う。

法は未整備,モラルは低下

 では,現時点でのリスクをどうとらえればよいのか。情報システムを取り巻く状況,利用者のモラル,企業の責任,の3点でみてみよう。

 情報システムを取り巻く状況は,システム化やコンピュータ技術が進み,リスクが高まっている。営業支援システムなど個人情報を用いるシステムが増え,WAN環境の拡充やWWWシステムによって企業の多くのユーザーがデータにアクセス可能な環境が整備された。また,大量データを簡単に持ち出せる状況もある。光磁気ディスク(MO)やCD-Rが普及し,メール,携帯電話やPDAなどでも容易に大量データを持ち出せてしまう。実際,宇治市では21万7617件分のデータをMOでコピーして名簿業者に売られた。

図2●個人情報漏えいを防ぐ決め手となる法律はない
個人情報への正当なアクセス権限を持つユーザーが,自分のフロッピ・ディスクを使って情報を持ち出した場合,刑法では処罰の対象とならない。また現在提案されている個人情報保護法案が成立したとしても,上記ケースを処罰することは実質的にできない

 利用者のモラルもあてにできない。まず法律による抑止効果は決め手とならない(図2[拡大表示])。UFJつばさ証券の例では,「プリント・アウトした用紙」が対象の窃盗容疑と思われるが,もし持ち出した者が所有しているフロッピ・ディスクにデータをコピーしたのであれば窃盗の対象にならない。「現状の法律では,“財物”のみが窃盗や横領の対象になり,“情報”は財物に当たらない」(牧野法律事務所 牧野二郎弁護士)からだ。

 実際,宇治市役所の例ではアルバイトの元大学院生が所有していたMOであったため窃盗罪には当たらなかった。現状提案されている個人情報保護法案でも,同様な個人情報漏えいのケースにおいて実際的には処罰される確率は低い*4 。「情報漏えいがあってもただちに処罰できず,主務大臣の命令に違反した時点で初めて処罰の対象となる。情報漏えいに対して勧告,命令を受けて,それでも再発させた場合だが,情報漏えいをした本人が同じ会社において繰り返し実行する前に解雇されているのが普通だ」(岡村・堀・中道法律事務所 岡村久道弁護士)。

 また「人材の流動化が危険な状況を作っている。派遣社員,アルバイト,退職者からの漏えいが多い」(牧野弁護士)といった声は,様々な方面からある。名簿業者に持ち込まれる場合も「情報漏えいは大体,下請けの会社からといったケースや社運が落ちて愛社精神が低いところから」(名簿業者)と言う。

 さらに,個人情報は簡単に換金できる現実もある。宇治市役所のケースでは,持ち出した者はインターネットで見つけた大阪の業者に電子メールで打診し,21万7617件のデータをMOで郵送して25万8000円を得た。

完全防止は不可,でも企業責任あり

 個人情報漏えいの法律的歯止めはなく,ますます起こりやすい状況がある。にもかかわらず,システム的に漏えいを完全に防止する方法は無い。宇治市役所でも防止策として,リムーバル・メディアの制限やプリント・アウトの管理も実施しているが,正当なアクセス権限を持つ利用者に対しては抑止策に頼らざる得ない部分も残る。

 さらに,どんなにセキュリティが高くても,発生してしまえば企業の管理責任が問われる。宇治市役所の場合,市民からの損害賠償の裁判において,1人1万円の賠償金という判決が出た。

 また個人情報の幅は広い。「個人を特定できる情報はすべて。名前がなくても特定できれば同じ」(牧野弁護士)だ。宇治市役所の場合は,氏名,住所,生年月日,性別の4項目で1万円だったが「証券会社が持つ個人情報や医療データなど1件当たり数十万円の賠償にもなり得る」(同弁護士)。ただ,賠償金よりも,顧客の信頼を失う方が損害が大きいだろう。

(森側 真一=morigawa@nikkeibp.co.jp)

次回(下)へ続く