通信会社子会社の元派遣社員が、自治体や企業が保有する約900万件の個人情報を不正に持ち出し、個人のUSBメモリーへ保管して、名簿業者へ転売した旨の報道がありました。本日は、情報漏えいの基本対策について、考えてみます。
該社では、非常時対応の為に、一部従業員が個人情報を保管できる仕組みを持っていたそうです。今回は、当該部署に所属する元派遣社員が、不正に持ち出しました。個人情報を持ち出す機能を持つ部署は、一般の部署より厳しいセキュリティが必要です。どの企業においても、システム管理部署内のメンバーに大きな権限だけ与えて、厳しいセキュリティは課していないのが、現実かも知れません。その常識は、今回の事件により、改めるべき時期が来たと思われます。
もう一つは、クラウド管理の時代に、USBメモリーにて情報の持ち出しを可能にしていたことです。USBメモリーなら、ポケットに入れて社外へ持ち出しが可能で、転売する際も、通信機器なしで手渡しが可能です。USBメモリーには、個人情報を保管できない仕組みも必要です。
加えて、顧客から必要以上の情報を入手しなければ、転売する魅力も薄れることから、未然防止策となります。氏名、生年月日、住所、電話番号が揃うと、詐欺事件に活用できます。今後は、必要以上の情報を入手しないことも、対策として考えるべきでしょう。
また、派遣社員に対し、顧客情報を取り出す作業を任せていたことも、事件を誘発する要因になったかも知れません。社内の権限の見直しも課題になると思われます。他社の不祥事を契機に、自社システムに関する業務の適正化や健全化に取組み、コンプライアンス経営を進めていきましょう。
コメント