情報漏えいは起こさない！「安全管理措置」はセキュアなオンラインストレージで

（2021.11.17更新）
　事業者が、個人情報や業務上で必要なデータや機密情報の取扱などで情報セキュリティ対策を行うことは、総務省の「国民のための情報セキュリティサイト」でもその必要性が告知されています。本記事では、情報漏えいで負うおそれのあるリスク・影響や、事業者が講じるべき情報セキュリティ対策などについて紹介します。

情報漏えいが招く重大な事態

　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損の防止に努める、その安全管理のために必要かつ適切な措置を講じる義務があります。個人情報取扱事業者では、たとえば顧客情報（公表されていない企業内の情報など）や機密情報、業務で使用するデータなどについての安全管理を行う必要があるのです。また、業務で取引先に個人情報を提供する場合は、それら事業者・委託先に安全管理を徹底する必要もあるのです。

　個人情報が外部に漏えいしたり、不正使用が行われたりした際には、法に基づいた処罰が行われます。故意に行われた場合は、不正使用した本人はいうまでもなく、監督責任のある事業者に対しても処罰が科されます。また外部からの不正アクセスなどによる事業者の故意ではない・防ぎ得なかった過失による場合では、行政から指導や勧告が行われる可能性があります。それによって再発防止や安全管理体制の見直しなどの対応に追われることになるでしょう。

●個人情報の不正使用や情報漏えい時に負うおそれのあるリスク

　情報漏えいでは、たとえ刑事罰などの適用がない場合でも、顧客・取引先への損害賠償や信用失墜などのおそれもあります。情報を不正使用、あるいは漏えいされてしまった人には、深刻な被害が発生している可能性があるからです。

　このような事態は事業者の社会的な評判の失墜を招きます。直接的な損害額以上のダメージを受け、その回復は困難といえるでしょう。 そのため、情報を管理していく上で発生するリスクをいかに封じ込めるかが大きな課題となります。

情報漏えいを未然に防ぐための「安全管理措置」

　それでは情報漏えいを防ぐための対策とはどのようなものでしょうか？マイナンバー制度の「安全管理措置」を例に、特定個人情報（マイナンバーを含む個人情報）の適切な管理について考えてみましょう。

　マイナンバー制度運用においては、事業者は特定個人情報の「マイナンバー制度に規定された以外の目的での使用」「外部への情報漏えい」を防ぐために「安全管理措置」を講じることが義務付けられています。その具体的な手順や方策は「特定個人情報の適正な取扱いに関するガイドライン（事業者編）」にまとめられています（注１）。

　取扱者や情報などの数が限られていれば、特定個人情報などの書類を金庫に入れ、鍵をかけて管理するというような方法でも問題はありません。実際に従業員が数人の事業者では考えられるケースです。
しかし従業員数を数百人を抱える中小企業であれば、紙での管理は容積などのボリュームから、金庫などでの保管は困難でしょう。また会計・給与システムと連携できない、源泉徴収票が手書きになるなどという経理処理の面でも望ましくありません。

　紙に代わる情報管理の形態として、自社サーバーを活用している事業者は多いかもしれませんが、自社サーバーの情報セキュリティ対策を講じるには、費用や管理の手間がかかってしまうなどのデメリットも考えられます。

　このような状況で注目されているのが、オンラインストレージの活用です。

安全管理措置のツールとしてのオンラインストレージ

　特定個人情報の保管における「物理的安全管理措置」「技術的安全管理措置」（注１）の内容をより詳しくまとめるとこのようになります。

・物理的安全管理措置

特定個人情報等を取り扱う区域の管理
機器及び電子媒体等の盗難等の防止
電子媒体等を持ち出す場合の漏えい等の防止
個人番号の削除、機器及び電子媒体等の廃棄

・技術的安全管理措置

アクセス制御
アクセス者の識別と認証
外部からの不正アクセス等の防止
情報漏えい等の防止

　オンラインストレージの特長が、これらに適しているとの考え方は広まっており、安全管理措置のツールとして、オンラインストレージを導入することが現実的な対策とされています。

　その一方で、個人情報の取り扱いにおいては「特定個人情報の適正な取扱いに関するガイドライン（事業者編）（本文及び（別添）特定個人情報に関する安全管理措置）」における「必要かつ適切な監督」を確認する必要があります。これには以下が含まれるとしています。

・委託先の適切な選定
・安全管理措置に関する委託契約の締結
・委託先における特定個人情報の取扱状況の把握

　そのためどのような企業であっても、個人情報を取り扱う上では、これらに応えられるオンラインストレージサービスを選定することが重要な課題となります。

セキュリティ機能から考えるオンラインストレージの選び方

　個人情報を取り扱うために導入するオンラインストレージには、セキュリティに関して十分な機能が備わっていることが前提条件です。ビジネスユースのオンラインストレージであれば、暗号化や不正アクセスのブロックなど一通りの情報セキュリティに関する機能を備えているものです。一般的にはアクセス認証にはID/パスワードを使用しますが、認証に用いるID/パスワードの流出のリスク、そのことによる情報漏えいのリスクは残ります。そのため、事前にその際の対処を考慮しなければなりませんが、その対処の仕組みを備えているオンラインストレージもあります。

　具体的には以下のような機能が必要とされています。

・端末認証機能
事前にID/パスワード以外の方法で認証された端末以外からは正しい
ID/パスワードを用いてもアクセスできない

・遠隔アクセスロック機能
認証された端末が盗難に遭うなどした際にはその端末からのアクセスを遠隔ロックし遮断できる

　回線認証機能は通信回線と一体となっての運用となるので、これを提供できるオンラインストレージサービスは限られます。その代表的なオンラインストレージサービスとして挙げられるのが、NTT東日本が提供する「フレッツ・あずけ～るPROプラン」です。事前に設定しておけば、外出先からも安心して利用できる「端末認証機能」や、万が一、端末を紛失したような場合でも、管理者が遠隔でアクセス権限を解除できる「遠隔アクセスロック」機能も、「フレッツ・あずけ～るPROプラン」のメリットといえるでしょう。

　情報漏えいのリスクを低減し、またマイナンバー制度運用などにも情報セキュリティ対策を講じたいとお考えならば、この機会に「フレッツ・あずけ～るPROプラン」の導入を検討されてはいかがでしょうか。

（注１）●安全管理措置を構成する4要素

●フレッツ・あずけ～るPROプランのご利用には、メールアドレスおよび専用ツールのインストールが必要です（対応OSは、フレッツ光公式ホームページ［フレッツ・あずけ～るPROプラン］（https://business.ntt-east.co.jp/service/azukerupro/offer.html）をご覧ください。