本コラムでご紹介している内容のまとめ
第1回Windows 10対応とハードディスク暗号化
「BitLocker(ビットロッカー)」で十分!?安全性・運用からの考察
個人情報の取り扱いに関する法規制が更に強化され、ほぼすべての企業において個人情報を厳格に保護する安全管理措置が求められます。本コラムでは、改正個人情報保護法のもとでの個人情報漏えい対策に向けて「見つけ出して(検出)、安全に閉じ込める(保護)」をポイントとした合理的な仕組みづくりを考えていきます。
ご存知のように、「個人情報保護法」が改正され、2017年より全面施行される予定です。今回の法改正により、個人情報に含まれる対象範囲が広がるとともに、個人情報の取り扱い件数に関わらず、実質すべての企業が法律の規制対象となります。企業規模に関わらず、個人情報の保護責任がこれまでにも増して厳しく問われます。
新たに範囲が拡大された個人情報の在処(ありか)を漏らすことなく把握し、安全に管理していくにはどうすればよいか。膨大なファイルの中からルールに反したファイルを手間なく見つけ出すにはどうすればよいか。不正な持ち出しを防ぐには、どのような対策を講じなければいけないか。「見つけ出して(検出)、安全に閉じ込める(保護)」をキーワードに、ファイル管理のあり方を含めた情報漏えい対策の更なる強化がすべての企業に求められています。
「個人情報保護法」の主な改正内容
2005年4月に「個人情報保護法」が施行されてから10余年。ICT技術を活用した製品・サービスの普及や、モノのインターネット(IoT)の急速な進展、事業活動のグローバル化に伴う国境を越えたデータ流通など、「個人情報保護法」の施行当時では想定されていなかった様々な問題が明らかになってきています。相次ぐ個人情報の漏えい事件・流出事故を受けて、より厳しい対策を求める声も高まっています。個人情報の保護を図りながら、パーソナルデータの適正な利活用を更に促進していくために「個人情報保護法」は新たな対応が求められているのです。
今回の改正は、このような時代の動きを反映したものです。
「個人情報」の定義の明確化
(「グレーゾーン」への対応)
匿名加工情報の
ビッグデータ利活用への対応
海外の個人情報
保護レベルへの対応
(保護レベルの整合)
対象事業者の拡大と
違反行為取り締りの強化
これらを主な課題と背景に法律が改正され、2017年より全面施行される予定です。企業のセキュリティ対策上、とりわけ重要となる改正内容を以下にまとめました。
いわゆる「5,000人要件」の撤廃
改正個人情報保護法では、個人情報の保有件数の定義が撤廃され、実質すべての企業が法規制の対象となります。これまで個人情報取扱事業者ではなかった企業においては、対象となる個人情報の在処(ありか)の洗い出しと安全管理対策を一から行う必要があります。
個人情報の定義の明確化(対象の拡大)
これまで「グレーゾーン」と言われていた指紋データや顔認証データなどが個人情報として明確に定義されました。既に個人情報取扱事業者である企業では、新たな定義に基づいて対象データを改めて洗い出すとともに、その安全管理対策を厳しく見直す必要があります。
不正提供・盗用に対する罰則の強化
いわゆる「名簿屋対策」として、個人情報のトレーサビリティの確保(第三者提供に係る確認及び記録の作成)が義務化されます。また罰則が更に強化され、不正な利益を図る目的で個人情報を提供、または盗用した場合には、提供・盗用した者だけでなく、所属企業も厳しく処罰されます。企業の信用失墜にもつながり、事業へのダメージも避けられません。個人情報を委託先、共同利用先等に提供する場合は、提供する側、提供を受ける側の双方にて法律に則った手続きと厳格な安全管理措置、不正持ち出しをさせない対策が必須です。
- 第三者提供に関わる確認および記録の作成等の義務付け
- 本人同意を得ない第三者提供の届け出、公表等の厳格化
-
個人情報データベース等の不正な提供・盗用に対する罰則の強化
→ 提供・盗用した者は1年以下の懲役または50万以下の罰金
→ 従業員が所属する法人にも両罰規定として50万以下の罰金
全面施行に向けたスケジュール
改正個人情報保護法は、公布の日から起算して二年を超えない範囲内において政令で定める日から施行されます。
- ※個人情報保護委員会事務局作成資料をもとに作成。
個人情報の強固な保護に向けた2大作業
法対応に必要な対策を短期間で行い、高い安全性を確保しながら継続していくには、「見つけ出して(検出)、安全に閉じ込める(保護)」作業を合理的に進めていかなければなりません。
個人情報を漏らさず見つけ出す!
全ファイルを対象とした個人情報の洗い出し作業が欠かせません。
改正個人情報保護法では「個人識別符号」が新たに追加され、個人情報の対象範囲が拡大します。企業では、社内のサーバやPCの、どこに、どのような情報が、どのような状態で保有・管理されているか、すべてのファイルを対象に個人情報の在処(ありか)を漏らすことなく入念に探索し、正確に掌握する必要があります。個人情報が含まれている場合には必要に応じて隔離や削除といった作業を行わなければいけません。ファイルの量は膨大です。企業によってはファイルサーバでのファイル管理が「無法状態」となっている場合もあります。そのような中から、ファイルを一つ一つチェックし、該当する情報を見つけ出していくのは想像以上に大変な作業です。マンパワーで行うには時間とコスト、労力が掛かります。しかも人による目視確認では見落としが避けられません。
ここで注目したいのが、個人情報の自動検出機能を有したソフトウェアです。NECの「ファイルサーバ統合管理ソフトウェア NEC Information Assessment System」(以降、NIAS)もその一つです。ファイルサーバの中から個人情報を含むファイルを自動的に検出してリスト化してくれるので、管理者はファイルに含まれている個人情報の内容及び構造を把握した上で、隔離(保護ファイルへの移動等)や削除といった対策を講じることができます。
このようなソフトウェアの利活用により、マンパワーに頼らない、高速かつ正確な個人情報検出作業が可能になります。
NIASの新機能「個人情報検出」機能
ファイルサーバ統合管理ソフトウェア「NIAS」個人情報検出機能の主な特長
住所、氏名、メールアドレス、電話番号、マイナンバー、クレジットカード番号、特定キーワードはもちろんのこと、これらの情報が個人を特定できるような出現パターンで出力されていないかどうかまで判定して個人情報を検出します。検出した個人情報を含むファイル件数はフォルダ毎に横断的に確認することができます。
設定した条件に該当するファイルをリスト形式で一覧化することにより、運用管理者は膨大なファイルから、個人情報を含んだ情報漏えいリスクのあるファイルを容易に抽出できます。また、各ファイルにアクセスすることができる人数が多い順にソートして、より情報漏えいリスクが高いファイルから優先して確認していくことができます。
ファイルを隔離フォルダに一括移動し、限定されたユーザで検出内容を確認することができます。また、隔離したファイルは管理者や所有者が確認し、是正措置を取ることできます。
個人情報を安全に閉じ込める!
個人情報を含むファイルの不正利用・情報漏えい対策が欠かせません。
個人情報を含むファイルを厳重に管理するにはどうすれば良いか。鍵となるのは、様々な形での不正持ち出しを想定し、それらの行為をシステム的に禁止していくフォルダ制御の実行です。おすすめしたいのが、ファイルの暗号化とコピーガード機能で強固な持ち出し対策を実現する「情報漏えい防止ソフトウェア NonCopy2」(以降、NonCopy2)です。NonCopy2を用いることにより、保護フォルダ外へのファイルの持ち出しを禁止することができます。また、印刷やメール添付、Webサイトへのアップロード・ファイル転送、保護フォルダ外へのファイルのコピー&ペースト、画面キャプチャなども禁止し、情報漏えいリスクを低減します。NonCopy2は、NIASの個人情報検出機能にて検出した個人情報を含むファイルを、厳重な「金庫」に入れて管理する仕組みと言ってよいでしょう。NonCopy2とNIASの連携により、改正個人情報保護法に対応した、より強力な情報漏えい対策が可能となります。
情報漏えい防止ソフトウェア「NonCopy2」の主な特長
NonCopy2は、保護フォルダ(以下、NonCopyフォルダという)内に保存したファイルを守ります。一度NonCopyフォルダ内に保存したファイルはクライアント端末から閲覧、編集は可能ですが、NonCopyフォルダから外部への持ち出しを禁止することができます。
NonCopyクライアント端末からNonCopyフォルダへファイルを保存するとファイルは自動的に暗号化され、ファイルを参照すると自動的に復号化されます。一方、NonCopy2がインストールされていない端末では、NonCopyフォルダ内のファイルは復号することができないため、ファイルの閲覧はできません。
ファイルの持ち出し、印刷を行いたい場合には、承認者へオンライン上からファイルの持ち出し/印刷申請を行います。承認者は申請内容を検討後、オンラインで許可を与えます。承認者は申請されたファイルの持ち出しを許可する際に、ファイルのセキュリティレベルに応じて「平文」、「暗号文」など持ち出し形式を指定することができます。
作業をシステム的に行う!
検出~保護の一連をシステム化する作業連携が鍵です。
作業1、作業2は、一連した作業としてひとまとめで行うのが合理的です。上記で紹介したNIAS、NonCopy2は、ファイルサーバ内に点在している個人情報を検索し、ファイルを保護フォルダに隔離するとともに自動的に暗号化して安全に管理する、これら一連の作業を体系化して行うことができる連携ソリューションを提供しています。IT担当者等のマンパワーの限界を鑑みた場合、このような連携ソリューションの活用を検討することが作業の効率性・精度を高め、より厳格な安全対策を実践していく上で望ましいと言えます。
NIAS + NonCopy2による対策イメージ
保護しなければならない個人情報を「見つけ出して(検出)、安全に閉じ込める(保護)」、この一連の作業を下記のようにひとまとめで行うことができます。
ファイル洗い出しから情報漏えい対策までをワンストップで
繰り返しになりますが、「改正個人情報保護法」の対象となる個人情報を含んだファイルが、どこにあり、どのように管理されているかを改めて洗い出そうとすればシステム担当者に過大な負担が掛かります。対象となるファイルすべてにアクセス権限の再設定や暗号化対策を講じようとすれば負担は更に増します。改正法の全面施行を控えた今、これらの解決を図りながら、的確な対策を講じていくには、ファイル管理および情報漏えい対策をマンパワーに委ねず、システムで考えていく必要があります。
先に紹介した「ファイルサーバ統合管理ソフトウェア NIAS」と、「情報漏えい防止ソフトウェア Noncopy2」はいずれもファイル管理の情報漏えい対策として自信を持っておすすめできる製品です。現在ファイルサーバで管理されているファイルの危険度を総合的に判断するとともに、必要に応じてファイルの再整備、暗号化処理を実行するうえで大いに役立つものと考えます。NECソリューションイノベータでは、導入のご相談から、運用・稼働・保守までワンストップでお応えします。お気軽にご相談ください。
製品の詳細については下記サイトをご覧ください。
掲載日:2016年9月7日
情報セキュリティコラム
情報漏えい対策の視角
セミナー・イベント情報
資料ダウンロード
企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。
サイバー脅威からお客様の資産・ビジネスを守る
サイバーセキュリティ対応のポイント リーフレット
NECソリューションイノベータのサイバーセキュリティサイトをA4裏表でコンパクトにまとめた紹介リーフレット。
(A4・全2ページ)情報セキュリティ対策の特集/業界トレンド情報をご提供
ホワイトペーパー
-
IT部門 意思決定者を対象
(A4/全8ページ)
とした調査結果レポート -
「終わりなきITセキュリティ対策」
(A4/全4ページ)
に必要な2つの視点とは -
21世紀のセキュリティに
(A4/全6ページ)
AIが果たす役割
情報漏えい対策ソリューション
製品ご紹介リーフレット
本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。
-
NonCopy2(A4・全2ページ)
-
4thEye Professional(A4・全2ページ)
-
Tripwire Enterprise(A4・全2ページ)
-
CylancePROTECT(A4・全2ページ)
-
Webコンテンツ保護・情報漏えい対策リーフレット(A4・全4ページ)
サイバー脅威からお客様の資産・ビジネスを守る
サイバーセキュリティ
サイバー攻撃が加速度的に高度化・巧妙化し続ける今、
個所を守るセキュリティ対策だけでは対応することが困難になっています。
NECソリューションイノベータは、エンドポイントからクラウドまでシステムを
知るシステムインテグレータの視点で、組織全体のセキュリティ対策強化と、
お客様のビジネスの継続および重要データの保護をサポートします。
