本当にできていますか?
「すみずみ君」は2015年で販売開始から10年が経過しました。これまで製造業やサービス業など、業種を問わず多くのお客様にご利用いただいていますが、その中でももっともご導入いただいているのは銀行、証券、保険などの金融機関のお客様で、全体の3割を占めています。金融機関では、他の業種以上に厳しい基準で個人情報を管理しなければならないため、「すみずみ君」に対する期待もあってか、大変厳しいご要望も頂戴しました。先に述べた「差分検索」や「検出文字列表示」などの機能も金融機関のお客様からのご要望により追加された機能です。
「すみずみ君」は、お客様からいただいたご要望をできるだけ早く製品に反映させることを開発の基本方針としていますので、これまで多くのバージョンアップを積み重ねてきました。
銀行などでは、定期的に個人情報管理台帳を作成することが義務付けられているため、年2回の定期監査時に個人情報管理台帳を作成されています。
ある銀行では、個人情報ファイルの保存先を「ファイルサーバー内の各部署用フォルダに限定する」という運用で、定期監査時には個人情報台帳をフォルダ単位で作成し、その作業を以前はすべて人の手で行っていました。大量の個人情報ファイルが保存されているため、期限に間に合わせるには人海戦術で対応するしかなく、年間数億円もの経費がかかっていたそうです。
その改善策として、「すみずみ君」を導入していただけることになりました。ただ、銀行では日々の業務で大量の個人情報が扱われているため、個人情報の量に比例して検出処理にかかる時間は増えてしまいますが、その一方で、ファイルサーバーには余計な負荷をかけたくないというご要望を受けました。そこで、ファイルサーバーとは別に「すみずみ君」専用の検査用サーバーを稼働させてファイルサーバーの内容を毎日コピーしておき、定期監査の際に検査用サーバー内の個人情報ファイルの検査を実行するシステムをご提案しました。さらに、個人情報管理台帳が作成できたら管理者にメールでレポートするというカスタマイズも加えました。このカスタマイズは非常に好評で、他の銀行でも同様のシステムを導入された事例が数件あります。
組織内で、個人情報ファイルの運用ポリシーが守られているかどうかを確認するために「すみずみ君」を活用されているお客様もいらっしゃいます。ファイル内に個人情報が含まれる場合、ファイル名の先頭に特定の記号を付け、所定フォルダに保存するというルールを設定。「すみずみ君」で検査を行った際に、個人情報を含むファイルの名称に記号がなかったり、所定フォルダ以外に置かれていたりといったケースを発見すると注意を促されています。
そのほかにも、万が一の紛失に備えて営業社員のモバイルPCは、必ず「すみずみ君」で検査して個人情報ファイルが存在しないことを確認してからでないと持ち出してはいけないというルールを定めて運用されているお客様もいらっしゃいます。
近年、インターネットにつながる情報系のクライアントPCには、個人情報ファイルや機密情報ファイルを保存してはいけないというルールを策定し、徹底を図っている企業・組織が増えています。そこで、不用意に保存されていないかを調べるために「すみずみ君」を活用されている事例が多くあり、個人情報ファイルを発見した場合には安全なファイルサーバーへ移動させたり、不要なファイルであれば削除するといった安全管理措置がとられています。
情報系のシステムは、日々の業務でメールやWebサイトなどを多用しているため、標的型サイバー攻撃によるマルウェアに感染してしまうことを前提に対策を行わなければならず、個人情報が存在してはいけない場所です。情報系のシステム内に個人情報が存在しなければ、万が一標的型サイバー攻撃を受けても情報が漏洩するリスクは格段に抑えられます。
保管期間が過ぎた法定調書のマイナンバーの消し忘れや、電子媒体の持ち出しによる情報漏洩対策として活用いただけると考えています。
基幹系システムには、人事・給与・会計などのシステムがあり、そこには従業員や家族のマイナンバーを含む特定個人情報が存在します。マイナンバーが記載された法定調書は定められた保管期間が過ぎれば速やかに削除しなければなりませんが、システム上では「削除フラグ」が付与されて削除済み扱いになっているだけで、実際にはデータが削除されていないということもあり得ます。そこで、本当に削除されているかを調査するために「すみずみ君」を活用いただければと考えています。
また、個人情報や機密情報と同様に情報系のシステム内を毎日「すみずみ君」で検査し、マイナンバーを含むファイルが存在していないことを確認するために活用いただくという方法もあります。マイナンバーの技術的安全管理措置の一つとして、情報漏洩対策にお役立ていただけるのではないでしょうか。
さらに、持ち出す媒体にマイナンバーを含む特定個人情報が含まれていないかを検査し、発見した場合には削除するという場合にもお役に立てます。あるお客様では、USBメモリを接続すると自動的に検査用のシステムが起動して、コピーしようとしているファイルに個人情報が含まれると判定すれば、コピーを禁止するようにカスタマイズした「すみずみ君」も導入されています。
先にも述べましたように、近年は「標的型サイバー攻撃は完全に防げないもの」として認知され始め、メールに添付されたファイルを開いたことでマルウェアに感染しても、一概に従業員を責めることはできません。情報漏洩対策として、容易に漏洩してしまうような場所に個人情報ファイルや機密情報ファイルを置かず、個人情報ファイルや機密情報ファイルは必ずアクセス認証が必要なファイルサーバー内に置き、クライアントPC内には保存しないという運用が必要です。
また、標的型サイバー攻撃でファイルが盗み取られてしまっても情報が漏洩しないようファイルを暗号化しておくという運用を行っている企業・組織も増えています。
確かにファイルを暗号化すれば、ファイル自体が漏洩してもファイル内の情報は漏洩しないと言えます。しかしながら、一度特定の暗号化ツールを導入し数年間運用してしまうと、何らかの問題が生じ、暗号化ツールの切り替えが必要になった際には、一度全ファイルを復号化するという大変な時間と手間がかかる課題が残ります。また、ファイルが暗号化されるとそのファイルが個人情報なのかを検出ツールで検査できなくなるということもありますので、暗号化ツールは慎重に選定する必要があります。こう言った背景から、ファイルの暗号化ではなく個人情報や機密情報をセキュアなファイルサーバーに置くという運用を徹底しているお客様も多くいらっしゃいます。
個人情報ファイル検出ツールを選定される際には、営業担当者の説明やカタログに記載された機能表をご覧になるだけでなく、ぜひとも、実際にお客様の実環境でご使用いただき、ご評価していただければ幸いです。「すみずみ君」を導入いただいたお客様の多くが、複数の製品をお客様の実環境で検証された上で、カタログだけではわからない性能を評価し、採用していただいております。無償の評価版をご用意しておりますので、今回ご紹介させていただきました「すみずみ君」の特長である「検査速度」「検査精度」「検出文字列表示」をぜひ実際にご体感いただければと思います。