« 大化けするかもしれない似非科学 | トップページ | Japanese TABAXIs »

2005年9月15日 (木曜日)

呆れはするがもはや驚かない

東京三菱5万人、UFJ7万人…大手銀が個人情報紛失

あっ、そう。
こういうミスを犯す企業は、もって他山の石とする、という格言も紛失してしまったようだ。

|

« 大化けするかもしれない似非科学 | トップページ | Japanese TABAXIs »

コメント

どうすれば「行内で誤って廃棄」できるのでしょうか。
考えられ得る誤廃棄の状況を説明して欲しいものです。
だいたい、廃棄の際はどんな形状で廃棄されるのでしょう?

投稿: Joe | 2005年9月16日 (金曜日) 12時51分

>>Joeさん

そのあたりを、もっとはマスゴミには突っ込んでもらいたいですね。もっとも彼らも似たようなミスをやるかもしれませんが。

そんなんじゃ、銀行に対する債務も「誤って廃棄してしまいたい」借り主はたくさんいるのじゃないでしょうかねえ。
実際、大企業は「債権放棄」してもらったりしてますし、って、話がそれてきてしまったのでこの辺で(笑)。

投稿: フロレスタン | 2005年9月16日 (金曜日) 17時15分

> どうすれば「行内で誤って廃棄」できるのでしょうか。
 おそらく印刷した監査証跡は残っているのだけれど、廃棄した監査証跡がないのでしょうね。おそらく、廃棄(シュレッダー/焼却)の記録が手作業なのでしょう。

 勤務先の場合、例えば顧客の個人情報格納システムから個人情報を含むデータを印刷すると、当然誰がどの情報主体のデータを印刷したかのログが残り、本人と当該部署の個人情報管理者に確認メールが自動で飛びます。印刷された帳票には、印刷ジョブのユニークIDがバーコードで印刷され、またコピー禁止等の制限事項と所持期限がオーバーレイで印刷されます。
 勤務先のセキュリティカードは、入退出・PC・コピー・FAX・シュレッダー使用時に必須で、当該帳票をコピー・FAXすれば、バーコードを読んでコピ/FAXーした人・印刷した人と当該部署の個人情報管理者に部数追加のメールが自動で飛びます。
 基本的に個人情報のFAX送信は禁止、コピー禁止の帳票で有れば当該部署部長と部門個人情報管理者にワーニングメールが自動で飛びます。本来はコピー不能/FAX不能にしたかったのですが、レスポンスが下がるので止めました。
 廃棄においては、シュレッダー・焼却用ゴミ箱前にバーコードリーダを設置して廃棄のログをとります。
 所持期限が来て廃棄ログがないと印刷・コピーした人および当該部署個人情報管理者にワーニングメールが飛び、1週間以内に廃棄ログが入らないと当該部署部長と部門個人情報管理者にワーニングメールが自動で飛びます。
 厳密にはページ毎にIDを振ってページ毎に廃棄のログなのでしょうが、そこまでするとログ管理が大変なので文書単位にしました。途中のページを抜かれるとか、1部について複数のページで複数の廃棄を記録し、廃棄部数を誤魔化すということは可能ですが、性善説にしました。
 勤務先は個人向けの事業をしていないので、顧客は法人内の担当者であり、個人情報といっても個人の口座番号やクレジットカード番号等はそもそも入手していないのでこの程度で済んでますが、金融機関はもっとやっているはずでしょうね。
 当然ですが、勤務先でも従業員の個人情報等秘匿性の高い個人情報については、印刷不能等になっています。
 予期したことではありますが、個人情報を印刷すると色々面倒にした結果、印刷数が減って画面へのアクセルログが増えてます。極力画面で見るようにしたと言うことですね。

投稿: tygrysojciec | 2005年9月17日 (土曜日) 08時58分

>>tygrysojciecさん
ご勤務先の状況の解説、ありがとうございます。
この手のシステムは一般的なのでしょうが、拝見して疑問を感じました。tygrysojciecさんの責任ではありませんよ(^_^;)。

結局は、何か「イベント」があると、それに反応してログが残されたり、警告メールが送られたりします。それはそれで大切なのですが、こういうのがあまりに徹底されると、いつのまにか「セキュリティホールの最大のものは人間である」という事実が、社員(特に管理責任者)の意識から消えていくような気がします。システムまかせ、機械まかせですね。

いくらこうやって管理しても、廃棄されてしまったり、流出してしまったデータに関しては、現状回復が出来ません。

投稿: フロレスタン | 2005年9月17日 (土曜日) 17時21分

> セキュリティホールの最大のものは人間である
 その通りです。それをカバーするのが教育・監査で、その実効性と継続性が重要でありかつ苦労するところですね。
 もちろん、リスク規模の低減やリスク発生部分の限定等、リスクを低減したシステム(コンピュータシステムではなく人による運用・教育・監査を含めた体制)は出来ますが、どれだけ資源をつぎ込んでもリスク=0のシステムは出来ません。

> 廃棄されてしまったり、流出してしまったデータに関しては、現状回復が出来ません。
 これもその通りです。例えば個人情報が流出してしまった時は、情報主体に報告・被害補償、監督官庁に届出、対外発表、トップの謝罪を行うしか出来ません。

投稿: tygrysojciec | 2005年9月18日 (日曜日) 07時40分

>>tygrysojciec さん

企業トップの謝罪に関して、雪印のHCCP問題あたりから強く感じているのですが、トラブルを起こした企業のトップの謝罪の場面を見ると、皆形式的に記者会見して、形式的に用意された謝罪文を読み、形式的に記者の前で頭下げているだけのように思えます。目を見ればわかる。あれは真剣に謝っている目ではない。

そういうのが、何かあれば形式的に謝罪すればいいや、という負の連鎖を生むのではないかと思いますね。強く思います。だから、似たような個人情報の流出事件が後を絶たないのでしょう。

謝罪した企業が、その後どう具体的に対応したかをおちんと追いかけるのもマスゴミの使命であるはずの調査報道ではないかと思うのですが、それが無い物ねだりにしか思えないのが情けない。

投稿: フロレスタン | 2005年9月18日 (日曜日) 23時36分

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/34842/5958754

この記事へのトラックバック一覧です: 呆れはするがもはや驚かない:

« 大化けするかもしれない似非科学 | トップページ | Japanese TABAXIs »