企業が保有している顧客の個人情報や業務上の機密事項は、事業を推進する上で貴重な資産であると同時に、企業にとっては大きなリスクでもある。その管理には最高度のガバナンスが求められ、万が一その機密情報の管理が十分でないことが原因で情報漏洩が発生すると、様々な努力によって積み上げてきた企業の社会的信用を簡単に失ってしまうからだ。

しかし、企業の情報セキュリティ体制が問われるような情報漏洩の事件・事故は後を絶たず、その要因も多岐に渡っている。企業のサーバー・データベースの脆弱性に対して不正なアクセスを試みるサイバー攻撃、社内から機密情報を不正に外部に発信させるようなコンピューターウィルスやマルウェアといった機密情報を標的にした不正プログラムによる情報漏洩は、セキュリティ製品の導入によりある程度対処できるものの"いたちごっこ"の状態。そして、社員や業務委託先の社員による機密情報の持ち出しや紛失といった企業内部の人間による情報漏洩も依然として少なくない。

特に人為的な要因による機密情報の漏えいは、それが故意によるものであると企業の社会的信用に与えるダメージは計り知れない。記憶に新しいところでは、日本最大手の教育関連企業が、子会社で顧客情報を管理している派遣社員のシステムエンジニアによって約2260万件の顧客情報が不正に持ち出され、その一部が名簿業者に売却されたという事件が発生。事件は未だ収束しているとは言えない状況だが、社会からその情報管理体制が問われるといった結果になり、営業活動は実質的に停止状態、謝罪や補償のために多額の費用を必要とすることになった。

なぜ、このような企業内部の人間による情報漏洩事件が後を絶たないのだろうか。

社内で業務上個人情報のデータベースに自由にアクセスすることができる権限を持った者が、その個人情報を企業の外へ持ち出すことはどの会社にも起こりうることだ。そのため多くの企業では、個人情報にアクセスできる権限を持った者は厳格に管理され、個人情報にアクセスする際にはその過程でいくつものチェックポイントを通過して権限を確認。そして、いつだれが個人情報にアクセスしたのかは全て記録されている。そうした環境下であっても、業務上正当に個人情報のデータベースにアクセスできる者が悪意を持ち権限を悪用すれば、大規模な情報漏洩に繋がってしまうのだ。

機密情報に対するガバナンスが十分であるため、事件発覚直後に犯人が特定されるケースは多いが、果たして情報漏えいを未然に防ぐことはできないのだろうか？　実は、企業が定期的に個人情報のデータベースへのアクセスやアクティビティのログを監視することによって、情報漏えいを未然に防止できるが、日常的に監視ができていない企業が多いためにこのような事件が発生してしまう場合が多い。

機密情報を管理する企業がアクセスやアクティビティのログを記録していないわけはない。問題なのは、そのログが「記録されている」だけに留まってしまい、その中で不審と思われるアクティビティログがあってもそれを見つけ出すことができないという点だ。もしも、アクティビティログの中に不審な大規模データコピーを早期に見つけ出すことができれば、顧客の被害を未然に防ぐことができたり、被害を最小限度に抑えたりすることも可能だろう。もし企業側が社内の不正に気付かず顧客からの問い合わせによって情報の漏洩が発覚するようなことになれば、それはつまりその企業が社内の不正に気が付かなかったことを意味しており、それも企業に対する強い不信感に繋がってしまうのである。

情報漏洩が起きた際に漏洩元を特定するための手掛かりとなる社内の個人情報アクセスに関するログの収集は、企業の情報ガバナンスにとって重要な手段であり、機密情報を管理している企業のほとんどが導入しているはずだ。しかし、実際に内部からの情報漏洩防止を目的としてログ収集だけでなく定常的な監視までを積極的に行っている企業はどの程度あるだろうか。

「社員を疑いたくない」「社員のモラルを信じたい」というのが本音としてあるかもしれないが、多くの社員が機密情報にアクセスできる状況や、社外の委託業者や契約社員・派遣社員などの非正規雇用者もが機密情報にアクセスする可能性がある場合には、こうした人情で個人情報をリスクにさらすわけにはいかない。データベースへのアクセス状況やアクティビティログをしっかり監視することで、積極的に個人情報を守るという姿勢が求められるのだ。

収集したログの監視・分析は、社内の不正を見つけ出す重要な手段となるだけでなく、社内業務システムの効率化やプログラムの脆弱性やバグを見つけ出す上でも重要な手がかりとなる。ログは収集しているがその中身はあまり把握していないという企業は、収集したログが何を物語っているのかを一度確認してみることをお勧めしたい。