Skip to Content
March 26, 2019 4 min read

顧客に関わる個人情報を収集・保存する組織は、その情報を保護する責務があります。どのようにしてそれを保護すればいいのか、その方法を以下にご紹介します。

A business professional sitting with laptop and smiling.

近年、ソーシャルメディア、アナリティクス、クラウドコンピューティングなどのテクノロジーによって、様々なビジネスが促進・成長・発展する恩恵を受けてきました。しかし、これらの新しい機会には懸念も伴います。

特に懸念されるのが個人情報です。実際に、あらゆる業界の企業がデータ・アグリゲーターとなり、顧客、クライアント、患者、従業員等に関する個人情報を収集・保存しています。それと同時に、個人情報取扱事業者、匿名加工情報取扱事業者等によってまったく新しいビジネスモデルが誕生しています。個人情報を所有する企業だけでなく、それを販売する不正な第三者にとって、その情報は極めて高い価値を持つようになりました。

テクノロジーによって情報へのアクセスが容易になる一方、脆弱性が高まり、州、連邦、および国際レベルで個人情報に関する規制がかけられるようになりました。企業はその情報を保護するための対策を講じることができますが、実際にセキュリティがどのようなもので、潜在的な落とし穴を回避するにはどうしたらいいのかをまずは知る必要があります。

過去の厳しい教訓

米Targetおよび米Home Depotの情報漏洩事件は広く報道され、個人情報保護対策を十分に講じていない企業に対し、将来起こりうる可能性のある大規模な事例を提示しました。米Targetの情報漏洩ケースでは、4000万件を超える顧客のクレジットカードとデビットカードが影響を受け、その結果、同社は1億4800万ドル以上の損害を被りました。このケースでは、サード・パーティーである空調機器システム業者の盗まれたアカウントを介して情報漏洩が発生しました(セキュリティ対策が十分に取れていないベンダーを使用している企業に対する、重要な警告となりました)。米Home Depotの情報漏洩事件では、5,600万件以上のクレジットカードが影響を受け、同社は推定6200万ドルの被害を受けています。もちろん、これらの金額だけでは、両企業の評判に与えた損害を計り知ることはできません。

中小企業は個人情報漏洩被害の98%を被り、米国中小企業の50%がサイバー攻撃の被害を受けています。

中小企業も同じような被害を受けることがあります。中小企業は個人情報漏洩被害の98%を被り、米国中小企業の50%がサイバー攻撃の被害を受けています。2014年における情報漏洩の平均被害額は、漏洩被害1件あたり350万ドルで、前年より15%増加しました。デジタルコンテンツの量が増え続けると同時に、将来起こり得る情報漏洩の危険性も高まっているのです。

PCI DSS監査

顧客のクレジットカード情報を保護するために、メインブランドのクレジットカード会社によって設立されたPCI(Payment Card Industry)は、データセキュリティスタンダード(DSS)と呼ばれる12の要件を策定しました。クレジットカード情報を所持、伝送または保存する全ての企業がこの要件の遵守を求められます。これらの要件は、ネットワーク・セキュリティ、脆弱性管理プログラム、安全管理措置、ならびにセキュリティの監視およびテストなどを定めています。中小企業は内部監査により、PCI DSSの基準を満たしているかどうか判断できますが、大企業は認定審査機関(QSA)による審査で認証を得る必要があります。PCI DSSに準拠しない場合、重い罰金が科せられる他、クレジットカードを取り扱うことができなくなる可能性も出てきます。

要件は3年ごとに改訂され、2015年1月時点でバージョン3.0が必須となりました。このバージョンには同じ12要件が含まれるだけでなく、新たな脅威や市場の変化に関する説明、追加的な指針、およびいくつかの新しいサブ要件も含まれています。

さまざまな業界セグメントや市場によって推進されているセキュリティに関するコンプライアンス・イニシアチブは数多く(時には多すぎるほど)存在しますが、ほとんどの企業は何から取りかかればよいのかわからない状態にあります。企業が追い求めるそのようなイニシアチブには、ISO 27001認証や、セキュリティ、可用性、機密性、処理の整合性、およびプライバシーに関するSOC(Service Organization Control)報告書の取得などがありますが、その他にも、HIPAA、NIST 800-53、およびクラウドセキュリティアライアンスなど、様々な規定が存在しています。しかし、ビジネスの方向性にかかわらず、コンプライアンスを遵守しているからといってビジネスが安全であるとは限りません。

コンプライアンスとセキュリティ

PCI DSSまたはSOCの認定を見事取得した企業も、依然としてセキュリティ侵害に対して脆弱である可能性があります。これらの監査の対象となるのは最低要件のみで、会社を保護するというよりも、顧客に関わる個人情報を保護することの方に重点が置かれているからです。(たとえば、顧客に関わる個人情報が別のセグメント化されたネットワークに保存されている場合、会社の別の内部ネットワークは監査対象に含まれない可能性があります。)さらに、これらの監査は、企業を危険にさらす恐れのある、米Targetの情報漏洩ケースのようなサードパーティーベンダーを十分にカバーしていないのが現状です。

企業は、個人情報漏洩が発生した場合の法的立場を考慮し、PCI DSSまたはSOC要件への準拠が必ずしも法的に万全の備えではないことを理解する必要があります。各地域の法律は、情報セキュリティ要件や規定よりも優先されてしまうため、国際的なベンダーやバイヤーと協力体制にある企業にとっては重要な課題となります。

真のセキュリティとは

企業は、セキュリティを完全なものにするために、ネットワークセキュリティ、ベストプラクティス、ガイドラインの強化、そして内部ネットワークセキュリティ評価などの基本事項を整備することから始めなければなりません。

セキュリティリスクの大部分はエンドユーザーにおいて発生するため、企業はすべてのスタッフに対しセキュリティ意識啓発トレーニングやセキュリティポリシーを提供し、ITスタッフに対しては追加のトレーニングを提供することで、自らを保護することが大切です。

ITスタッフとすべてのスタッフに対し、セキュリティのベストプラクティス/意識向上トレーニングを提供してください。

企業は、既知のITセキュリティ要件と共に、MSAおよびSLAを強化し、サードパーティプロバイダに対しては、監査を受けることを要求することも必要です。

最後に、企業はSANS Instituteによって開発されたITセキュリティに関する20の原則を定期的に確認することも求められます。これらの原則には、すべてのデバイスのセキュアな設定の確保、マルウェア対策、セキュリティスキルの評価およびトレーニングの実施、監査記録の維持、ならびにセキュアなネットワークエンジニアリングの確保が含まれています。

セキュリティを確保するためのステップ

今日のテクノロジー主導型のビジネス環境において、企業はもはや情報セキュリティを無視することはできません。貴社の情報セキュリティを検討する際は、以下の原則とガイドラインに留意してください。

  1. 機密情報を保存または伝送することには危険が伴うこと
  2. ただ1度の情報漏洩が、多大な時間やコストを浪費させ、会社の評判に傷を与えかねないこと
  3. PCI DSS要件を遵守しても、必ずしもビジネスの安全性を完全に確保できるとは限らないこと
  4. ネットワークセキュリティの基本から始めること
  5. ITスタッフとすべてのスタッフに対し、セキュリティのベストプラクティス/意識向上トレーニングを提供すること
  6. サードパーティーベンダーによってもたらされるリスクを考慮し、それらを相殺するための措置を講じること
  7. SANS Instituteの原則をよく理解すること

詳細については、お気軽にお電話ください。