2014年07月13日(日曜日)
7.13.私は「谷好通」ですが、何かの会員に「谷好道」と登録すると。
昨日は会社のリスク管理委員会。
情報漏洩のリスクについて議論になりました。
弊社では商品売上げ等の売り掛け管理、顧客情報、個人情報など、
会社のビジネスの中枢になる部分の情報は、
PCを外部と接続を遮断したスタンドアローンにした形にしてあるので、
インターネットを使った外部からの侵入はシャットアウトされています。
だから、万が一、このデータベースから情報漏えいがあるとするなら
それは内部の者の仕業であるということになります。
内部の不当アクセスを防止するために
パスワードを何重かにかけ、
不定期に、パスワードを変えて、
しかもこのPCの中に入れる権限を持つ者を限定して、
それを、極端な話、信頼できる一人にしておけば、
情報漏洩の危険性を最小限に出来る。はずです。
しかも、万が一の犯罪が行われたとしても、
犯人がすぐに限定できることになります。
しかし実際は、その情報を活用して仕事をするために、
多くの人がそのデータベースに接続する必要があり、
接続の権限者を狭く、少なく限定する事によって
セキュリティを上げるのには限界があり、
今回のベネッセの情報漏洩も社内の契約社員の仕業であるようです。
いずれにしても、それだけ厳重に情報を守るということは、
この情報に価値があるということであり、
情報をデータベースから抜き取って、売れば、
住所録業者等が氾濫する現代では簡単に、
しかも大きなお金にする事が出来ます。
しかも、その情報とは、
個人情報であれば、一つずつの情報としては、
ただの個人名と住所、生年月日などだけであり、
一つずつでは、ほとんど価値のあるものではなく、
それが何十万件、何百万件になると、
DMをターゲットに効果的に打つために有効な価値の高い情報となるわけです。
だから、その情報が不当にコピーされて、売られ、
大量にDMなどに使われても、
一人ひとりにとっては、何かのDMが来ただけであり、
そこに犯罪の匂いを嗅ぎ取る人はいないでしょう。
つまり、大量の個人情報とは、換金性の高いお宝であり、
しかもそれを使っても、誰も犯罪とは気がつかないとしたら、
ある意味、完全犯罪に近く、
しかも、それを実行する権限を自分が持ったとしたら、
しかも、それをしない動機は、自らの倫理性だけだったとしたら、
それを我慢できる人だけが権限を与えられているとは限らないでしょう。
しかし今回の事件で、
面白い防止方法が潜んでいたことに気がつきました。
個人情報そのものに罠を仕掛けることです。
新聞などでも言っていましたが、
個人の名前とか住所に仕掛けがされていたことです。
たとえば、私の名前は「谷 好通」ですが、
何かの会員、A会の登録だけに「谷 好道」と書いておくと、
他の会からのDMには「谷 好通」として来るのに、
A会からのDMには「谷 好道」と来ます。
それはそれでいいのですが、
A会とは関係のないC会から来たDMに「谷 好道」と書いてあったとしたら、
A会に登録した個人情報のデータベースが、盗まれて、
個人情報を売買する業者を通じ、C社がそれを買い、
私にC社がDMを「谷 好道」で、送ってきたことになります。
そこで私がA社に対して、
「あなたの会社の個人情報が盗まれていますよ。
なぜなら、A社にしか登録していない「谷 好道」の名前で、
C社からDMが来ました。
A社から盗んだ私のデータをC社が使ったとしか考えられません。」
今回ベネッセの事件もこんなことで個人情報の漏洩が発覚し、
データベースのコピー履歴から、
ベネッセのデータベースにアクセスする権限を持っていた契約社員が、
犯人であるらしいと分かったようです。
ふと考えたのですが、
守る側の会社の命を受けた者が、
DMが届いてしまう程度の擬似偽名で、
自ら、何通かを登録をしておいて、
自分の会社からの擬似偽名のDMが届いているうちはいいのですが、
情報が盗まれて他の会社から擬似偽名のDMが届いたら、
自らのデータベースが盗まれたという警報になる。
という仕掛けがしてあることをことを、
事前にデータベースにアクセス権限を与えた者に伝えておくと、
この会社の個人情報を盗んで、売ると、すぐバレルということになるので、
有効な犯罪防止の手段?になるのではないかということです。
ちょっと雨が降り始めたので、
色々な事を考えていたら、ふとこんな事を思いつきました。
でも、こんな防止法は、とっくにされているのでしょうね。
あるいは、私の思いつきには私が気がつかない何か欠点があって、
誰も使っていないということでしょうか。たぶんそちらでしょう。