fbpx

情報セキュリティにまつわる
お役立ち情報を発信

内部の不正アクセスを防ぐためのPマーク対策

 

今日はこのニュースについて考察したいと思います。

人事資料に不正アクセス容疑=富田林市元課長代理を書類送検-大阪府警

市役所の職員2名が他の職員のIDを悪用して組織内のデータサーバに不正アクセスし、権限がないにもかかわらず人事情報を閲覧していたというニュースです。

地方自治体の個人情報関連の事件が後を絶ちません。とはいえこれは地方自治体だけの問題ではなく一般企業においても十分発生する可能性のあることです。プライバシーマーク(Pマーク)取得会社は自社で同様の事故が起こらないように対策を講じるべきです。

以下の対策は外部の不正アクセスだけでなく社内の不正アクセスを防止するためにも有効です。

 

適切なアカウントを付与する

電子データの管理においては当たり前のことですが、重要な個人情報やそれを含めたファイル、サーバなどは許可された人しか見たり利用したりすることができないようにアクセス制限をかけなければなりません。

アカウントを付与するとはアクセス制限をかけたうえで特定の人にアクセスする権限を与えることです。

プライバシーマーク(Pマーク)取得会社はアクセス制限を設定するだけでなく、その権限の振り分けが現状の業務に合ったものかどうかを定期的にチェックし、必要があればアカウントの付与を更新しなければなりません。

 

正しいパスワードの利用を社内に浸透させる

仮に会社側で適切にアカウントを付与していても、各社員が自分のパスワードを正しく設定・利用していなければ、それが原因で他社のなりすましによる不正アクセスが発生してしまいます。

プライバシーマーク(Pマーク)取得会社にはパスワードの設定ルールや保管方法、そして定期的に更新することなどについて社員の理解を向上させ、くれぐれも自分のアカウントを他人に使われない、使わせないように指導することが求められます。

 

アクセスログを定期的にチェックする

今回のニュースで取り上げられた富田林市の例を見ると、例の職員たちは2年間で47回も情報に不正アクセスしていたことがわかります。

1回の不正アクセスでさえ許容すべきではないのですが、2年間の間不正アクセスが発覚しなかったことはさらに深刻な事態として受け止める必要があります。

大切なのは不正アクセスを早期に発見することです。アクセスログとはサーバへの通信記録のことですが、アクセスログを継続的に取得し、定めた頻度でチェックし、許可されないアクセスがないかどうかを確認することがプライバシーマーク(Pマーク)においては重要となります。

 

たとえ外部からの不正アクセスに対して十分な対策を取っていても、社内の人間による同様の行為によって個人情報が漏えいするようであっては決してプライバシーマーク(Pマーク)取得の目的とする状態が実現しているとはいえません。

 

まとめ

プライバシーマーク(Pマーク)取得会社として会社外部・内部両方にしっかり目を向けて、個人情報が確実に保護されるように注意しましょう。

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る