第95回 どんな対応してますか?(4)
個人情報保護法の施行直前に、駆け込み的に漏えい事故が発表されました。
これで治まるかと思いましたが、このところ大きな事故が連発です。
個人情報をいかに保護し続けるか、どこまでコストと手間を掛けるのか、引き続き現場の例をご紹介します。
■足らないと、やりすぎの境界線
○生命保険会社のライフプランナー
友人のライフプランナー清水さんが、保険のシミュレーションのために、いつも持ち歩いているノートパソコンの取扱方法を教えてくれました。
「センシティブ(機微な)情報を扱うのが仕事なのです。」
「ノートパソコンは危険ですが、私の商売に欠かせないのです。」
では、どうしているか?
「3点セットで、守っています。」
(1)カードリーダ・ライター
清水さんの会社の社員証はICカードで、例の首から下げるストラップで、常時携帯するルールです。
パソコンを使う前にカードリーダーをパソコンに接続して、ICカードをベースユニットに置くことで、最初の本人認証をします。
パソリ(パソコンに接続する、ICカードの仕組み)
http://www.sonyfinance-card.com/pasori/guide.asp
(2)覚えにくいパスワード
ウィンドウズの起動後に、IDとパスワードで認証します。
専用のソフトが使われており、もちろん誕生日や自分の名前の一部など、容易に想定できるパスワードは設定できません。
「覚えにくいパスワードを設定して、それを覚えるのが大変なンです。」
そりゃ、そうですね。
(3)暗号化
データベースは暗号化されており、しかも、パソコンのハードディスクとUSBメモリーに分割してデータを保存するシステムです。
万一ICカードが悪用され、パスワードが解読されても、USBメモリーがなければ個人情報は漏えいしない仕組みです。
強固な仕組みですが、使用する人間のやり方に依存する部分も多い。
IC社員証、USBメモリーとパソコンを、一つのかばんにぽんっと詰め込んでしまうと、セキュリティーが一気に下がってしまいます。
しかし、バランス感覚も大事です。
例えば、ある人がさらにノートパソコンに何重にもセキュリティーを装備し、非常に強固なシステムを構築しました。
もし不幸な出来事が彼を襲い、バックアップデータを使える手だてを用意しておかなければ、サービスを受託するお客様が一番困ります。
先日、敬愛する佐藤さんが、
「あっ、父の遺書が耐火金庫にあるけど、開け方をダレも知らない!」
と慌てていました。
お宝があることが分かっているが、かぎを開けることができない。
サーバー管理でも、同じことが考えられます。
重要データにアクセスできる人を制限し、指紋認証など生体認証も導入し、非常に強固な仕組みを構築する。
ある日曜日の昼下がり、サーバー管理者が娘と一緒に料理を作っていると、うっかり指を大けがしてしまう…。
情報は漏えいしないけれど、大事な情報は眠ってしまう。
生体認証はなんだかカッコいいけど、適用する箇所には注意が必要です。
