顧客に関わる個人情報の保護について：リスク、要件、そして会社を安全に保つ方法とは

近年、ソーシャルメディア、アナリティクス、クラウドコンピューティングなどのテクノロジーによって、様々なビジネスが促進・成長・発展する恩恵を受けてきました。しかし、これらの新しい機会には懸念も伴います。

特に懸念されるのが個人情報です。実際に、あらゆる業界の企業がデータ・アグリゲーターとなり、顧客、クライアント、患者、従業員等に関する個人情報を収集・保存しています。それと同時に、個人情報取扱事業者、匿名加工情報取扱事業者等によってまったく新しいビジネスモデルが誕生しています。個人情報を所有する企業だけでなく、それを販売する不正な第三者にとって、その情報は極めて高い価値を持つようになりました。

テクノロジーによって情報へのアクセスが容易になる一方、脆弱性が高まり、州、連邦、および国際レベルで個人情報に関する規制がかけられるようになりました。企業はその情報を保護するための対策を講じることができますが、実際にセキュリティがどのようなもので、潜在的な落とし穴を回避するにはどうしたらいいのかをまずは知る必要があります。

過去の厳しい教訓

米Targetおよび米Home Depotの情報漏洩事件は広く報道され、個人情報保護対策を十分に講じていない企業に対し、将来起こりうる可能性のある大規模な事例を提示しました。米Targetの情報漏洩ケースでは、4000万件を超える顧客のクレジットカードとデビットカードが影響を受け、その結果、同社は1億4800万ドル以上の損害を被りました。このケースでは、サード・パーティーである空調機器システム業者の盗まれたアカウントを介して情報漏洩が発生しました（セキュリティ対策が十分に取れていないベンダーを使用している企業に対する、重要な警告となりました）。米Home Depotの情報漏洩事件では、5,600万件以上のクレジットカードが影響を受け、同社は推定6200万ドルの被害を受けています。もちろん、これらの金額だけでは、両企業の評判に与えた損害を計り知ることはできません。

中小企業は個人情報漏洩被害の98％を被り、米国中小企業の50％がサイバー攻撃の被害を受けています。

組織の規模や複雑さに関係なく、データ侵害の被害者になる可能性があります。中小企業も同じような被害を受けることがあります。中小企業は個人情報漏洩被害の98％を被り、米国中小企業の50％がサイバー攻撃の被害を受けています。2014年における情報漏洩の平均被害額は、漏洩被害1件あたり350万ドルで、前年より15％増加しました。デジタルコンテンツの量が増え続けると同時に、将来起こり得る情報漏洩の危険性も高まっているのです。

PCI DSS監査

顧客のクレジットカードデータを保護するため、主要なクレジットカードブランドによって結成されたPCI（Payment Card Industry）は、クレジットカードデータを処理、伝送、または保存するすべての組織が準拠しなければならない、データセキュリティ基準（DSS）として知られる12の要件を作成しました。これらの基準は、ネットワークセキュリティ、脆弱性管理プログラム、管理策、セキュリティの監視とテストなどの分野に重点を置いています。小規模な組織では、社内でコンプライアンスを検証することができますが、大規模な組織では、QSA（Qualified Security Assessor）を雇って検証を実施する必要があります。コンプライアンスに違反した場合、多額の罰金やクレジットカードの利用ができなくなる可能性がもあります。

さまざまな業界セグメントや市場によって、セキュリティに関するコンプライアンス・イニシアチブが数多く、時には多すぎて、ほとんどの組織は何から手をつけていいかわかりませんらない。セキュリティ、可用性、機密性、処理の完全性、プライバシーに関するISO 27001認証の取得やSOC（Service Organization Control）レポートの取得など、組織が追求できるイニシアティブがあります。その他にも、HIPAA、NIST 800-53、Cloud Security Allianceのコンプライアンスなど、さまざまなものがあります。ビジネスの方向性がどうであれ、コンプライアンスに準拠しているからといって、そのビジネスが安全であるとは限りません。

コンプライアンスとセキュリティ

PCI DSSまたはSOCの認定を見事取得した企業も、依然としてセキュリティ侵害に対して脆弱である可能性があります。これらの監査の対象となるのは最低要件のみで、会社を保護するというよりも、顧客に関わる個人情報を保護することの方に重点が置かれているからです。（たとえば、顧客に関わる個人情報が別のセグメント化されたネットワークに保存されている場合、会社の別の内部ネットワークは監査対象に含まれない可能性があります。）さらに、これらの監査は、企業を危険にさらす恐れのある、米Targetの情報漏洩ケースのようなサードパーティーベンダーを十分にカバーしていないのが現状です。

企業は、個人情報漏洩が発生した場合の法的立場を考慮し、PCI DSSまたはSOC要件への準拠が必ずしも法的に万全の備えではないことを理解する必要があります。各地域の法律は、情報セキュリティ要件や規定よりも優先されてしまうため、国際的なベンダーやバイヤーと協力体制にある企業にとっては重要な課題となります。

真のセキュリティとは

企業は、セキュリティを完全なものにするために、ネットワークセキュリティ、ベストプラクティス、ガイドラインの強化、そして内部ネットワークセキュリティ評価などの基本事項を整備することから始めなければなりません。

セキュリティリスクの大部分はエンドユーザーにおいて発生するため、企業はすべてのスタッフに対しセキュリティ意識啓発トレーニングやセキュリティポリシーを提供し、ITスタッフに対しては追加のトレーニングを提供することで、自らを保護することが大切です。

ITスタッフとすべてのスタッフに対し、セキュリティのベストプラクティス/意識向上トレーニングを提供してください。

企業は、既知のITセキュリティ要件と共に、MSAおよびSLAを強化し、サードパーティプロバイダに対しては、監査を受けることを要求することも必要です。

最後に、企業はSANS Instituteによって開発されたITセキュリティに関する20の原則を定期的に確認することも求められます。これらの原則には、すべてのデバイスのセキュアな設定の確保、マルウェア対策、セキュリティスキルの評価およびトレーニングの実施、監査記録の維持、ならびにセキュアなネットワークエンジニアリングの確保が含まれています。

セキュリティを確保するためのステップ

今日のテクノロジー主導型のビジネス環境において、企業はもはや情報セキュリティを無視することはできません。貴社の情報セキュリティを検討する際は、以下の原則とガイドラインに留意してください。

1. 機密情報を保存または伝送することには危険が伴うこと
2. ただ1度の情報漏洩が、多大な時間やコストを浪費させ、会社の評判に傷を与えかねないこと
3. PCI DSS要件を遵守しても、必ずしもビジネスの安全性を完全に確保できるとは限らないこと
4. ネットワークセキュリティの基本から始めること
5. ITスタッフとすべてのスタッフに対し、セキュリティのベストプラクティス/意識向上トレーニングを提供すること
6. サードパーティーベンダーによってもたらされるリスクを考慮し、それらを相殺するための措置を講じること
7. SANS Instituteの原則をよく理解すること