中小企業が知っておきたい個人情報保護対策
皆さん、お疲れ様です!
ホリデーコンサルティングです!
本日は『最近の情報リスクの傾向』と『中小企業が知っておきたい個人情報保護対策』
についてお伝えします。
『最近の情報リスクの傾向』
ベライゾン社の最近の調査によると、2009年の情報漏洩は140件でしたが、
2010年には760件と大幅に増加しています。
一方、被害にあった個人情報の件数は2009年が1億4400万件だったのに対して、
2010年は約400万件と大幅に減少しています。
このことから、近年では大規模な情報漏洩が減少し、より小規模な情報漏洩が急激に増加
していることがみてとれると思います。
つまり、個人情報を狙う犯罪者の狙いは十分なセキュリティ対策を講じている大企業から、
小規模なデータベースを持つ中小企業へとシフトしているのです。
脅かすようなことを言ってすいません。
しかし、耳の痛い話ですが現実の状況として皆様に是非知っておいて頂きたいと思います。
『中小企業が知っておきたい個人情報保護対策』
ホリデーコンサルティングはプライバシーマーク・ISOといった認証規格を取得して
頂くことで、「各規格の性質」に加えて「実際に売り上げにつなげるダイレクト取得」
をミッションとしております。
プライバシーマークにおける「規格の性質」にあたる部分が、
「個人情報の漏洩リスクを軽減すること」です。
しかしながら、資源に限りのある状況で総合的なセキュリティーを導入するのは容易な
ことではありません。
容易なことではないですが、冒頭でお話させて頂いたように、情報漏洩のリスクが中小企
業へとシフトしている以上これからは中小企業も積極的にリスクと向き合う必要がありま
す。
下記にセキリティー対策を5つのステップに分けてご紹介しますので、
参考にして頂ければと思います。
1.データ品質評価を実施する
まず、中小企業は、法的規制の対象になっている情報や知的財産を含むデータストアなど、機密領域に格納されているデータストアの意味や品質、およびスケジュールを見直すべきです。このデータ品質評価は、追加のセキュリティプロトコルが必要と思われるデータベースや、ハッカーの進入路となる可能性のある脆弱性を特定するために行う必要があります。
2.全てのデータ接触ポイントの説明書を作成する
次に、中小企業は、誰がどのデータストアを担当しているのか、どのアプリケーションがデータストアを使用しているのか、その業務目的は何か、といった情報が一目でわかる「説明書」を作成する必要があります。このステップは、アプリケーションアクセスの有効なセキュリティロールを作成する上で不可欠なものであり、データセキュリティ対策上きわめて重要なステップといえるでしょう。自社で使用しているアプリケーションが、データとどのようなやりとりをしているのかを明確に把握することができれば、入力された場所でデータを保護するためのプロセスを確立することができるからです。
3.定期的にシステムの再点検を実施する
企業内に新しいアプリケーションを導入する場合には、アプリケーションの導入と同時に、新たな脆弱性を持ちこまないようにする必要があります。特にオンラインのバックアップサービスなど、価格が手ごろなクラウドアプリケーションに移行する場合、機密データは企業のファイアウォールの外側に格納されることになるため、中小企業は、データベースをクラウドに構築するメリットと機密データを第三者の手に委ねるリスクを比較検討しなければなりません。
4.総合的かつ具体的なセキュリティポリシーを開発する
セキュリティベンダーが提供する「付加価値」の一つとして、数々の顧客の導入事例を通して得られた豊富な経験と幅広い成功事例があげられます。中小企業は、特定の業界の専門的知識を有し、かつ自社の垂直市場で多数の顧客を持つセキュリティベンダーを選択するべきです。
5.総合的なソリューションを導入する
顧客や会社のデータを適切に保護するためには、中小企業も大企業と同様に、データが格納されている全ての場所に総合的なセキュリティソリューションを導入する必要があります。セキュリティに対する総合的なアプローチは、以下の3つの特徴を備えている必要があります。
a.ソリューションはスケーラブルであり、事業の成長に応じて拡張可能でありながら優れたコスト効率を維持することができる
b.導入が簡単であり、展開と維持に必要となる時間と資源が最小限で済ますことができる
c.データベース層を含め、機密データが格納されている全ての領域を簡単かつ確実にサポートすることができる
データベースの活動状況の監視に加え、脆弱性管理を組み合わせることにより、中小企業は自社のセキュリティの状態を総体的に把握することが可能になり、リスクをさらに緩和させると共に、会社に損害を与えるような重大な漏えい事件からも自社の機密データを守ることができるでしょう。
以上となります。
私自身もそうなのですが、初めてすることには強い抵抗感を感じます。
しかし、小さなことでも具体的に初めてみると思っていたより簡単だったりすることも
間々あるものです。
皆様も少しずつ、対策に取り組んでみては如何でしょうか。
余談ですが、プライバシーマークの取得には、今回ご紹介した対策ほどのレベルは必要
ありません。
個人情報保護対策を含め、是非お気軽にご相談下さい。
個人情報の価値とは?13万円と70億円の違い
個人情報の価値自体は、個人情報の内容や種類、あるいは人によって
大きく変わるものだと思いますが、
個人情報自体は値段としては微々たるものでしかなく、
ただし、漏洩した際の損害額は多大なものになるものです。
少し古いお話になりますが、2009年に三菱UFJ証券株式会社(現三菱UFJモルガン・スタンレー証券)の
社員(当時部長代理)が約149万人の顧客情報を盗み、
その内、約5万人の顧客情報を名簿会社に売ったという事件が起きました。
事件自体は、当時大きくニュースでも取り上げられましたので皆さんご存知だと思います。
この事件は、個人情報自体は値段としては微々たるものでしかなく、
ただし、漏洩した際の損害額は多大なものになることが本当にわかる事件でした。
①個人情報は、名簿会社にいくらで売れたのか?
約5万人の顧客情報(住所・氏名・勤務先・年収・携帯電話番号)は、
わずか「13万円」で名簿業者に売られました。
もしかしたら、皆さんの中には、もっと高く売れるのはないかとお考えになった方も
いらっしゃるかもしれませんが、事実として個人情報自体は高く売れません。
②この事件で三菱UFJ証券株式会社は、どれだけの損害を受けたのか?
三菱UFJ証券がうけた損害はお詫び金5億円を含めて「約70億円」。
三菱UFJ証券は事件発覚後、2009年3月末から6月までに緊急電話窓口などで
苦情処理にあたった従業員は延べ2,000人、苦情は16,000件以上に及んだと言われ、
また情報漏洩があった約5万人に対しての「補償」として、詫び状と10,000円の
商品券を送付しました。その他、名簿を買い取った業者に対して勧誘をやめるよう
交渉し、その弁護士費用も含められています。
③事件を起こした本人はどうなったのか?
不正アクセス禁止法と窃盗の罪で懲役2年の実刑判決を言い渡されました。
被告は、当然ながら会社を懲戒解雇され、事件後、妻と離婚し、子供2人とともに
家を出ていったと言われています。
犯行の末、エリート証券マンとしての社会的地位を失い、愛する家族も自分のもとを去った。
失ったものはあまりにも大きいと思います。
個人情報とは、価格としての市場価値は小さく、
ただし、もし漏洩した場合の企業への損害額は大きいものです。
この点が企業の上層部がいくら個人情報漏洩の怖さを伝えても、
なかなか従業員の皆様全てにうまく伝わらない理由なのかもしれませんね。
大きく変わるものだと思いますが、
個人情報自体は値段としては微々たるものでしかなく、
ただし、漏洩した際の損害額は多大なものになるものです。
少し古いお話になりますが、2009年に三菱UFJ証券株式会社(現三菱UFJモルガン・スタンレー証券)の
社員(当時部長代理)が約149万人の顧客情報を盗み、
その内、約5万人の顧客情報を名簿会社に売ったという事件が起きました。
事件自体は、当時大きくニュースでも取り上げられましたので皆さんご存知だと思います。
この事件は、個人情報自体は値段としては微々たるものでしかなく、
ただし、漏洩した際の損害額は多大なものになることが本当にわかる事件でした。
①個人情報は、名簿会社にいくらで売れたのか?
約5万人の顧客情報(住所・氏名・勤務先・年収・携帯電話番号)は、
わずか「13万円」で名簿業者に売られました。
もしかしたら、皆さんの中には、もっと高く売れるのはないかとお考えになった方も
いらっしゃるかもしれませんが、事実として個人情報自体は高く売れません。
②この事件で三菱UFJ証券株式会社は、どれだけの損害を受けたのか?
三菱UFJ証券がうけた損害はお詫び金5億円を含めて「約70億円」。
三菱UFJ証券は事件発覚後、2009年3月末から6月までに緊急電話窓口などで
苦情処理にあたった従業員は延べ2,000人、苦情は16,000件以上に及んだと言われ、
また情報漏洩があった約5万人に対しての「補償」として、詫び状と10,000円の
商品券を送付しました。その他、名簿を買い取った業者に対して勧誘をやめるよう
交渉し、その弁護士費用も含められています。
③事件を起こした本人はどうなったのか?
不正アクセス禁止法と窃盗の罪で懲役2年の実刑判決を言い渡されました。
被告は、当然ながら会社を懲戒解雇され、事件後、妻と離婚し、子供2人とともに
家を出ていったと言われています。
犯行の末、エリート証券マンとしての社会的地位を失い、愛する家族も自分のもとを去った。
失ったものはあまりにも大きいと思います。
個人情報とは、価格としての市場価値は小さく、
ただし、もし漏洩した場合の企業への損害額は大きいものです。
この点が企業の上層部がいくら個人情報漏洩の怖さを伝えても、
なかなか従業員の皆様全てにうまく伝わらない理由なのかもしれませんね。
プライバシーマーク申請・使用に関する費用
プライバシーマークに関する費用の内、審査機関及びプライバシーマーク事務局に支払う費用は
以下のようになります。
自社がどの事業者規模にあたるのかについてはこちら。
実際にコンサルティングさせて頂いている中で、
これらの費用についてよくご質問頂くのがその支払い時期。
まず「申請料」。
これは審査機関に申請書を提出した時点で請求書が発行されます。
次に「審査料」。
申請書を提出した後は文書による審査と現地(御社での)審査があります。
この現地審査の後に審査料の請求がされることになります。
最後に「付与登録料」。
審査が無事に終わるとPマークの登録(2年間)をする形となり、その際に付与登録料を支払います。
それぞれの費用が段階的に請求されていく訳ですね。
また、この3つの費用に加えて現地審査に係る審査官の交通費・宿泊費(必要な場合)は別途請求されます。
費用に関しての補足としてもう一点。
こちらもご相談頂くケースがあるのですが、社内の事業・体制・所在地などに大きな変更が
ある場合。
もし、現地審査が終わった後に変更が生じると再度現地審査を行う可能性があり、
以下の費用が必要となります。
この場合、新規で取得される場合は体制変更にあわせて申請をしたり、
更新される場合は現地審査の時期の調整を図ることで、
無駄にコストをかけなくて済むケースがあります。
申請についてのご相談は随時受け付けておりますのでお気軽にご相談下さいませ。