本記事は、株式会社ギックスの運営していた分析情報サイト graffe/グラーフ より移設されました(2019/7/1)
機密情報/個人情報は原則渡さない。渡す場合は方法に気を付ける
近年、様々な情報が紙媒体からデータに変わり、インターネットが普及し、様々な情報がどこからでも取得できるようになりました。その反面、どこからでも取得されてはいけない機密情報や個人情報が企業などから流出してしまう情報漏えい事件が、後を絶ちません。このような事件が発生しないようにするためには、データの提供側と受取側の双方が気を付けなければなりません。今回は、その中でデータ提供時に注意すべき点について説明します。
データ提供する”形式”を考える
データ提供を行う場合、もし、第三者の手に渡ってもデータを読み取ることができないよう暗号化をかけるのがマナーです。暗号化には2種類あり、解読(複合化)できない方式と、できる方式があります。
解読できない暗号化としては、カード番号や会員番号などの文字列データをハッシュ変換によって別の文字列に変換するものがあります。弊社では、このハッシュ変換機能をツールで提供しておりますので、誰でも簡単にデータをご提供できるようにしています。(注:現在はサービス提供を停止しています)
解読できる暗号化としては、データファイル自体を専用の暗号化ツールによって暗号化する方法があり、パスワードを知っていないと解読できない状態にするものがあります。この方式を使用する場合、データ受取側にパスワードを知らせる必要がありますが、この時、パスワードをメールやメモ書きに残さず、電話などで口頭で伝えたほうが、よりセキュリティーが強固になります。
データ提供する”ルート”を考える
個人情報や機密情報の重要度が上がれば上がるほど、データ提供するルートに気をつける必要があります。特にデータセンターなどの情報が集約している場所からデータを抜き出す場合は注意が必要です。このような施設では、外部のインターネットが使えない場合があり、USBメモリやポータブルハードディスクで受け渡す場合があります。これらの外部記憶層の中でも保存形式を自動的に暗号化できるものがありますので、短い移動距離でも”もしも”の場合を考慮し、これらの暗号化できる外部記憶装置を使うことをオススメします。
売り上げランキング: 8,258
売り上げランキング: 1,114
データ提供する場合は、2重3重にチェックする
情報漏えい事件は、一度、行ってしまうと会社の信用を失うことになります。そのため、データ提供時には複数人がクロスチェックを行い、「渡していけないデータは含まれてないか?」「パスワードによる暗号化が行われているか?」「メールのあて先は間違っていないか?」などを確認します。また、チェック事項が多岐にわたる場合は、ガイドラインなどを作る場合もあります。
このような2重3重のチェックを行って、初めて安全にデータ提供が行えるようになります。
また、同じ会社の社員同士でも個人情報、機密情報の安易な受け渡しは控えた方が良いです。なぜなら、重要な情報が1か所のみ存在しているなら、そこに対して集中して注意をしていれば、データ流出を防ぐことができるからです。
【連載記事:データ提供時のマナー】
Lesson1:お品書きを付ける
Lesson2:データファイルのレイアウトは変えない
Lesson3:機密情報/個人情報を渡す場合のお約束 (本稿)
Lesson4:データファイルのサイズと形式と転送方法に注意する
