【CSIJコラム14（2023,12,4）】

「絵馬から考える情報漏洩」

 

株式会社ラック／CSIJ評価分科会

岡本　大輝

 

　近頃、一気に冷え込むようになってきました。気づけばもう12月に入り、あっという間に2023年が終わろうとしています。
　年末から年明けのシーズンに思い浮かぶのが、忘年会や年越しの準備、そして初詣等々…
　初詣といえば、一年の運勢を占うおみくじに、自らの願いや抱負を書き込む絵馬等、日本独特の文化が多くあります。私は毎年おみくじを引くのですが、2022年、2023年と2年連続で大吉を引き当てました。「大吉を引いた瞬間が1年のピーク」と言われたりもしますが、2年連続ということは年間を通して大吉状態を継続できているのではないかと捉えています。ちなみにこの2年、大吉を実感できたエピソードは1つもありませんでした。

　さて、おみくじではなく絵馬から話題を広げたいのですが、絵馬に関する興味深いニュースを目にしました。参拝者の中には、自身の絵馬に個人情報保護シールを貼り、氏名などの個人情報を隠す方もいらっしゃるようです。

　個人でもこうして対策意識が高まっている世の中ですので、私たち企業も情報保護について万全の対策をとらなければなりません。
　しかしながら、プライバシーマーク認証団体からも情報漏洩が起きてしまう等、情報漏洩に関するニュースは日常的に見かけるものとなってしまいました。ウイルス感染や不正アクセスの様に悪意をもった攻撃者による事件に加え、システムの設定不備やメールの誤送信、端末の紛失の様に人為的なミスに起因する事故も多くあります。

　今年発生した情報漏洩の一例として、国内大手企業にて、「データを保存するクラウド環境に設定不備があり、10年以上に渡り情報を閲覧できる状態になっていた」という事案がありました。特にクラウドサービスを活用する場合、公開範囲を間違えるだけで世界中の人が情報にアクセスできるようになってしまいます。情報を扱う際には、一つ一つの手順に注意を払い、常に警戒心を持って行動することが必要です。
　なお、同社は「ガバナンスと技術的対策の双方から、システムの不適切な設定や構築を機械的に防ぐ」、「個人情報保護やセキュリティに関する再教育を実施する」ことを再発防止策の一部として挙げています。
　情報漏洩の防止・発生した場合の早期解決のためには、上記再発防止策の様な技術的、及び人的な対策の両方が重要です。

　しかしながら、注意を向ける必要性は認識しつつも、どのような点に気を付ければ良いのか、具体的な対応がわからない方も多いのではないかと思います。
　CSIJでは、クラウドサービスの活用に関し、対策が適切かどうかを確認し、そして改善に繋げるための評価フレームワークを提供しています。興味がある方はぜひご連絡下さい。
　※参考URL（CSIJホームページ）：https://www.csi-japan.org/evaluation
　また、私が所属する株式会社ラックでもクラウドサービスのセキュリティ対策状況を診断、可視化するための「LAC DSS クラウド版（仮称）」の開発を進めておりますので、ご興味ありましたらご連絡いただけますと幸いです。

　2024年は1件でも情報漏洩の事故が減ることを祈りつつ、私は大吉スタートできるように今から徳を積んでおこうと思います。