内部の不正アクセスを防ぐためのPマーク対策
今日はこのニュースについて考察したいと思います。
人事資料に不正アクセス容疑=富田林市元課長代理を書類送検-大阪府警
市役所の職員2名が他の職員のIDを悪用して組織内のデータサーバに不正アクセスし、権限がないにもかかわらず人事情報を閲覧していたというニュースです。
地方自治体の個人情報関連の事件が後を絶ちません。とはいえこれは地方自治体だけの問題ではなく一般企業においても十分発生する可能性のあることです。プライバシーマーク(Pマーク)取得会社は自社で同様の事故が起こらないように対策を講じるべきです。
以下の対策は外部の不正アクセスだけでなく社内の不正アクセスを防止するためにも有効です。
適切なアカウントを付与する
電子データの管理においては当たり前のことですが、重要な個人情報やそれを含めたファイル、サーバなどは許可された人しか見たり利用したりすることができないようにアクセス制限をかけなければなりません。
アカウントを付与するとはアクセス制限をかけたうえで特定の人にアクセスする権限を与えることです。
プライバシーマーク(Pマーク)取得会社はアクセス制限を設定するだけでなく、その権限の振り分けが現状の業務に合ったものかどうかを定期的にチェックし、必要があればアカウントの付与を更新しなければなりません。
正しいパスワードの利用を社内に浸透させる
仮に会社側で適切にアカウントを付与していても、各社員が自分のパスワードを正しく設定・利用していなければ、それが原因で他社のなりすましによる不正アクセスが発生してしまいます。
プライバシーマーク(Pマーク)取得会社にはパスワードの設定ルールや保管方法、そして定期的に更新することなどについて社員の理解を向上させ、くれぐれも自分のアカウントを他人に使われない、使わせないように指導することが求められます。
アクセスログを定期的にチェックする
今回のニュースで取り上げられた富田林市の例を見ると、例の職員たちは2年間で47回も情報に不正アクセスしていたことがわかります。
1回の不正アクセスでさえ許容すべきではないのですが、2年間の間不正アクセスが発覚しなかったことはさらに深刻な事態として受け止める必要があります。
大切なのは不正アクセスを早期に発見することです。アクセスログとはサーバへの通信記録のことですが、アクセスログを継続的に取得し、定めた頻度でチェックし、許可されないアクセスがないかどうかを確認することがプライバシーマーク(Pマーク)においては重要となります。
たとえ外部からの不正アクセスに対して十分な対策を取っていても、社内の人間による同様の行為によって個人情報が漏えいするようであっては決してプライバシーマーク(Pマーク)取得の目的とする状態が実現しているとはいえません。
まとめ
プライバシーマーク(Pマーク)取得会社として会社外部・内部両方にしっかり目を向けて、個人情報が確実に保護されるように注意しましょう。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
