個人情報保護法により、個人情報の安全管理が義務付けられています。
その意味では、
「特別に必要な対策の対象項目」と言う位置付けで対応するべきでしょう。
まず、漏洩の可能性となる要因を洗い出して、それぞれの対策を行います。
漏洩の要因は次のように分類できるでしょう。
| 故意 | 内部から | 個人の興味欲や換金目的によるもの |
| 外部から | 換金や攻撃対象取得によるもの | |
| 事故 | 盗難や紛失、誤廃棄、メールの誤配信 | |
また漏洩経路では、次のように分類できるでしょう。
| 紙 | 持ち出し、紛失、不適切な破棄 | ||
| 電子ファイル | メディア経由 | CD、DVD、USB | |
| ネットワーク経由 | 内部から | メール、Web、P2P | |
| 外部から | 不正アクセス、アクセス制限設定ミス | ||
このように、漏洩の要因や経路を分析し、個別の対策を行います。 以下で代表的な対策例を示します。
基本的な対策
●持ち出しさせない。→USBなどのデバイスアクセス管理
ソフトの利用
●必要以上にアクセスさせない。→利用者制限以外に時間制限も有効な場合があります。
●確実に破棄させる。
紙持ち出し漏洩対策
●文書管理→コピー制限やコピー後の管理
●印刷や配布制限の管理(その他、裏紙規制)
●ペーバーレスへの移行
ネットワーク経由の対策
●メール対策→BCC(Blind[盲目的] Carbon Copy:本来の受信者に別メンバにコピー転送されたことは通知されない。)で
上司にも送る規則にする。また監査用の保管を行うなど
●Web経由の対策
使うブラウザの決めて設定規制を使う。
プロキシサーバーでパケットフィルタリングを使うなど
●P2P(peer to peer)など、余計なソフトをインストールさせない。
(コピーするだけでインストールが可能なソフトが存在します。
監視ソフトを使えばある程度の規制が可能ですが、
まずは、危険性を認識させることが重要です。
得に持ち帰らなければできないような日本の業務スタイルでは、
管理レベルが低い自宅マシンの危険を理解させなければなりません。