◇ 個人情報保護とIT対応 ◇


このレポートは、地域金融研究所発行の月刊誌「 New Finance」平成17年4月号への寄稿を加筆修正したものです。ニュース・コメントのサイトでも繰り返し強調しておりますが、個人情報保護には組織的対策と技術的対策の二種類があります。組織的対策が基盤となり、それを技術的対策が支援・補完し全体のレベルを上げることが本筋です。ところが、組織的対応の基本中の基本である個々行職員の意識が未だ不足しており、その原因には経営者の認識不足があるようです。金融機関の経営者には、ITに係わることとなると途端に拒否反応の出る方が多いようです。そこで、経営者向けに、技術的対応の基本を説明しようと考え、執筆したのが当レポートです。



本年4月1日より個人情報保護法が施行された。各金融機関は、個人情報保護法・金融庁ガイドライン・所属協会の自主ルール等に基づいた対策を実施してきたことであろう。

しかしながら、完全な防止策はなく、時間的な制約もあったことから、これからも対策の強化・拡充を図っていくことになる。

個人情報保護は、法による義務という側面もあるが、顧客や従業員を守ることを通じて、自行庫を守るという視点が必要である。また、前向きな顧客情報利用を制約し、所要費用に際限がないことから、利便性・利用可用性・コストとリスクのバランスという高度な経営判断が求められることも現実である。迫られて小出しの施策を繰り返すよりは、大きなビジョンと経営への位置付けを明確にして前向きな対応を図ることが、オペレーショナル・リスク管理と競争力の強化に結びつくことになるだろう。


既知のように保護対策は、組織的対応と技術的対応に大別できる。(表1)言うまでもなく組織的対応が基盤となるが、技術的対応がそれを支援するので、両者のバランスの取れた展開が重要である。当稿では、技術的対応を簡単に紹介する。

1.     セキュリティ・ポリシーの策定

プライバシー・ポリシーの下位ポリシーとして、外部や内部からの不正なアクセスや過誤による情報流出等を防ぐための理念・基本ルール・組織体制・責任権限等を明文化した規定である。個人情報に止まらず、ITに係わる施設・設備・人員に対する故意・過失・事故・災害などによる侵入・改ざん・詐取・破壊から防御するための施策を網羅する。昨今はインターネットを通じて法人、個人の顧客を含めた外部との接続が急増しており、ウィルス対策、ハッキング対策、情報テロ対策としても重要な規定である。

留意すべきは、攻撃する側も日進月歩の技術革新を続けていることだ。絶えずレベルアップする努力と態勢が不可欠である。最近ではフィッシング(偽メールで偽サイトに誘導)などの手法で顧客から暗証番号を詐取しようとする事案が増えつつあり、セキュリティ・ポリシーの行為主体として顧客を含める必要も出てきた。

2.アクセス・ポリシー

管理対象ファイルの特定と各ファイルの用途に応じて、アクセスできる行職員と許可する操作内容などの基本ルールを規定する。大規模金融機関では、数万件以上のデータを蓄積・保存したシステムが1千を超える。グループや個々人の業務用に作成されたファイルとなれば数万以上である。ファイル単位でアクセス制御するのは大雑把すぎるので、ファイルの中のレコード単位で管理することが増えている。その全てに関して、詳細な使用法を規定することは現実的でなく、基本ルールを定め、各ファイル管理責任者に運用を委ねることになる。

3.コンフィギュレーション管理

金融機関の情報機器は多岐に渡り、その数も膨大である。センター関連だけで数千以上の装置があり、支店では、行職員数の5倍以上の装置が接続されている。各装置自体と他装置との接点すべてが、侵入・流出ポイントとなりうる。極端な場合だが、新設ATMの設置作業中に、何者かが盗聴機器を設置する可能性すらある。こうしたリスク可能性を把握、分析するためには、全ての機器構成(コンフィギュレーション)を正確に掴んでおくことが必要である。しかし、機器構成は頻繁に変更される。その継続的把握の負荷が余りに大きい為か、全体を正確に整理したコンフィギュレーションは殆ど存在しない。多くの金融機関では、コンピュータ関連機器と通信関連機器の所管が分離されており、それぞれが複数の業者任せになっていることも原因であろう。

4.侵入・漏洩ポイントの抽出

コンフィギュレーション・チャートを分析することで、どのポイントでどのような侵入・漏洩のリスクが考えられるかを把握する。図1は極めて単純化した概念的コンフィギュレーションであるが、大きくはセンター機器、利用部門機器、ネットワークに大別できる。

センターは専用の施設で、特定の人間のみが入館するので管理が容易である。しかし、保存する情報量が膨大であり、流出事案が起これば被害規模も巨大となる。

インターネット等による外部との接続に関して、金融機関はファィヤウォールの設置や当該システムを基幹系から分離するなど対策に努めてきている。その意味で、わが国産業界で最も進んでいると言えよう。

金融関連の流出事案を見ると、支店を含めた利用部門や外回り営業のポータブル機器の盗難・紛失が大半である。これら利用部門の機器をエンドポイントと称するが、被害規模は小さいものの発生頻度が高いので対応が急がれる。また、プリンター、FAX、コピー機等のメモリーにデータが残るので、印刷物管理と合わせて対応が必要となる。

5.アクセス制限管理とアクセス・ログ

ファイル毎あるいはその一部のレコード単位で、アクセスできる人間を限定する。通常は、パスワードや暗証番号で特定する。使用機器の特定や上長による操作許可を付加している事例も多い。アクセス管理システムで社員毎のアクセス権限と使用状況を集中管理している先進企業もある。

アクセス制限の事例として、支店営業行員には担当する顧客に関する情報の照会・更新を許可し、支店長と営業次長には自店顧客の情報照会と印刷は許可するが更新は認めないなどがある。問題は、照会したデータをFDなど外部媒体にコピーできること、メールに添付して外部に送信できることである。この為、USBなど外部記憶媒体接続機能を取り外すほかにメール使用を制限する金融機関が多い。

アクセスした日時、対象ファイル、アクセス者、操作内容などを記録するのがアクセス・ログである。防止策とはならないが、抑止効果は大きい。また、流出事案発生時に正当な操作を行なっていた行職員の立証データとして利用できるメリットもある。課題は、全てのアクセスを記録しておくと、それ自体が膨大なデータ量となることである。また、従業員からプライバシー侵害と提訴される事例もある。判例では、勤務中に会社機器を操作していることを理由として原告敗訴となっているが、従業員のプライバシー配慮も重要である。そこで、異例操作(深夜時間帯での操作やパスワードの誤入力など)のみログ保存する考えもあるが、ファイルの機密度に応じて設定すべきである。

7.入退室管理とPC持出し・持ち込み

建物や部屋への入出も管理する必要がある。入退館室の都度、社員IDカードによるチェックと記録をする事例が多いが、最近では指紋・虹彩・声紋・顔面イメージなどの生体認証が普及している。コンピュータ・センターでは厳重なチェックが行なわれるが、本部建物などで、入館した後は各部署に自由に出入り可能な金融機関が多いようだ。経済合理性を考慮すれば、一概に生体認証を取り入れる必要はないが、部署毎の機密度に応じた入退室管理が求められる。

情報機器の入出管理も重要である。特に、自宅や訪問先での使用のためにPCを持ち出す場合の対処は難しく、一律に禁止もできない。流出事案の大半を占めるのが持出しPCや移送中ファイルの盗難・紛失であるため、データの暗号化、PC起動時のパスワード多重化や指紋認証を取り入れることが増えている。

従業員の私有PCを業務用に社内で使うこともある。ネットワークでの設定方法を知る人間であれば、社内LANに接続しデータを複写して持ち出すことも可能である。原則、禁止として特殊事情のある場合のみ、管理者の許可・監視を前提とすべきであろう。

8.本人確認(認証)

一般的にID番号とパスワード(暗証番号)の組み合わせで操作者を特定する。しかし、その番号が流出することにより本人以外の使用が可能となることは、昨今の偽造カード事件で周知のことである。ワンタイム・パスワードのように毎回操作時に次回利用時のパスワードを発行する方法があるが、利用者にとってパスワードの管理が難しい。そこで、生体認証が注目されている。まだ、完全な認識率とはいえないが、社内で利用するには充分な精度である。

パスワードや生体認証では、事前に登録したデータと操作時に入力したデータを照合する。登録データは、カード、操作対象機器、管理用システムの一つないしは複数に保管されるが、技術を持った確信犯であれば改ざん可能である。昨今は機器の基盤ソフトがウィンドウズのようなオープン系のものが多い。つまり、精通した技術者が大量に存在することを意味している。

9.本番環境と開発環境の分離

新システムの開発やプログラム変更を行なう際には、多勢の外注技術者がコンピュータ・センターに出入りし、プログラム作成の為に開発用コンピュータを使用する。開発コンピュータのない場合は、夜間など営業時間外に本番用コンピュータを利用することもある。更に、プログラムが設計通りに作成できたか検証するにはテスト用データが必要だが、その作成には膨大な負荷とコストがかかるため、古い実データを使うことがある。一般事業会社での顧客情報大量漏洩は、大半が開発作業時の犯罪行為である。開発用設備機器やテスト・データなどは、本番用と分離管理する必要がある。

10.ネットワーク・セキュリティ

ネットワークを通じての流出事案も多いが、金融関連では稀である。ウィルスやハッキングへの対策は以前から実施されており、インターネットなどの外部ネットワークと業務系ネットワークを分断しているためである。しかし、ネットバンキングが普及し、対象業務が拡大するに従って、インターネット系システムに保存するデータ量が増加している。危険性が高まっていることを意味する。一般事業会社での事案の多くは、インターネットを通じたアンケート結果や顧客からの登録データをネット関連サーバー内に保存してしまうことが原因である。単純なミスとして済ませられないほどケースが多い。インターネット関連は、充分な教育訓練を受けなくてもシステム運用が可能なので、未熟練者にシステム運用管理を委ねた弊害と言えよう。

11.モニタリング等

代表的なモニタリングは、監視カメラによる従業員の動作監視である。従業員に対する性悪説と見られることや、従業員の側にもプライバシー侵害という気持が強いこともあり、機密性の高い部署などへの導入に限定されている。

昨年来、新製品ラッシュとなったのがモニタリング・ソフトである。センター・システムのDB監視用とLAN接続されたPC監視用の2種類がある。どちらも、操作者・日時・操作対象ファイル・操作内容などを監視し、記録する。異例な操作状況を検知して管理者に通知する機能や、事前登録したパターンと一致した場合に操作を停止させる機能を持つ製品が多い。LANから外して持ち出した際、その間の操作履歴を保存しておき、LANに再接続した途端に操作履歴を管理者に通知する機能を持つものもある。印刷出力する時に透かしを組みこむものもある。まさに、日進月歩である。

フィルタリングという技術もある。社内と外部とで受発信する電文をチェックするのだが、送信メールに添付したファイルの中味をチェックして所定条件に一致した場合は発信を停止させる。イントラネット上の社内専用Webページを外部に転送することもチェックする。この技術は、従業員が勤務中に会社設備を使って個人用途のメールやインターネット操作することを防止する目的で開発されたものだが、最近では機密漏洩防止機能を充実させつつある。社内利用としてのインターネットは、一般管理業務用に使われていたが、最近は情報系システムや融資業務などにも適用されることが増えている。利便性が安全性の低下をもたらすことがあり、防止策としてのフィルタリングは重要である。

12.暗号化

暗号化はセキュリティ対策技術で最も歴史のある確立された技術である。ソフト料金も低価格である。普及していない理由は、付随コストと操作性に大きな制約があるからである。

保存・送信するデータを暗号化し、利用する際に解読するのであるから、3倍以上のハード資源を必要とし、操作が煩雑になることが想像できよう。この為、超機密情報のみを対象とするか、外部へ移送するなどリスクの高い状況での利用に限定されている。ネットワーク上を伝送する時だけ暗号化するのは比較的簡便であるが、発生頻度が少ないこともあり、限定的な利用に止まっている。

図2に例示したように、漏洩した場合の損害額等影響の大小と、発生可能性の高低を比較判断し、コストとのバランスで対策手段の優先付けを行なう必要がある。徒に、あらゆる手段を採用しても、その費用対効果と費用負担者を考えれば、逆効果となることがある。

13.情報ライフサイクル管理

顧客情報の入手・登録・検索・更新・廃棄という一連のサイクルを見なおす必要がある。今日の記録保存用のハードディスクは、PC当り100億文字以上である。それだけのデータを使っている従業員はいないだろう。センターにも高額のディスク装置が並んでおり、その記憶容量が数兆文字分を超える金融機関は数多い。ただし、その容量の60%以下しか利用されておらず、使われるデータは数%という調査結果もある。つまり、使わないデータを蓄え続けており、廃棄のための仕組みもない。このデータがリスク源となることを考えれば、情報の入手から廃棄まで安全と効率を確保する規定と仕組みを構築する必要があろう。

14.情報管理ガバナンス

チーフ・インフォメーション・オフィサー(CIO)は、情報活用と技術管理の責任者というイメージが強い。そこでセキュリティやプライバシー保護の強化を目的として、チーフ・セキュリティ・オフィサー(CSO)やチーフ・プライバシー・オフィサー(CPO)を設置する動きがある。

昨今では、情報システムの外注化を推進した金融機関が増えている。実働部隊を持たないCIOが、CSOやCPOの機能を果たすのは至難である。外注先との契約条件で解決できる問題でもなく、外部委託における情報管理のあり方が大きな課題となってくる。


ま と め

技術的方策の幾つかを紹介したが、全てを実施してもリスクはゼロにならない。コンティジェンシープランが不可欠である。また、顧客からの照会も増えるので、受皿組織・対応手順とシステム支援も必須である。この二点は、最優先事項である。

今後、組織的・技術的な個人情報保護施策を継続的に拡充していくことになるが、その実効性担保と遵守状況を確認するための監査体制も重要である。技術は進歩し、流出方法も複雑化、高度化するだろう。アクセス権限を定めても、人事異動などで頻繁に更新が必要となる。これらに要する労力と費用は膨大なものになるが、一元化されたリーダーの下で、全組織が協力した確実な実践がリスク管理のみでなく、業務効率・コスト抑制のためにも不可欠である。