セキュリティ確保と、個人情報保護の対策 -ホームページ運営上の法律上の留意点- 初出:ビジネス実務法務(中央経済社)99年2月号56頁 初出雑誌タイトル:「ホームページ作成に転ばぬ先のセキュリティ」 内容は、企業向けのものとなっています。 (本文約4000字) UP99/03/23:更新99/04/08:01/08/11:04/02/27:04/05/11 Cyber Red Card 2004-02-24■ヤフーBB、460万人分の個人情報流出 恐喝未遂の3人逮捕 朝日新聞特集:ヤフーBB情報流出 ↓ソフトバンクBB [ HOME ]より
株式会社ジャパネットたかた-発覚2004/03/09 |
||||||||
ホームページの広告的機能 ホームページの作成と言うとすぐに著作権のことが頭に浮かぶ。実際、個人でホームページを作るとなると、文字部分はともかく、まず背景の画像や音楽の利用などで、著作権問題に遭遇する。ホームページ作成に関し、何かと著作権の処理についてうるさく書いた書籍も多い。しかし最近は無料で利用できるフリーウエアの画像ソフトや、誰でも簡単に音楽を作成できるソフトなども充実してきたので、以前に比べると著作権に頭を悩ます必要がなくなりつつある。 もっとも企業がホームページを作る場合には、一から自前でホームページを作るのはまれなケースで、外注するのが普通だろう。広告を作る場合に、いちいち著作権を意識する必要はないのと同様に、ホームページの著作権の処理も、広告会社なり、外注業者の仕事と言える。要するにホームページを作って、普通に情報を発信する分には、著作権の処理は、あまり神経質にとらえる必要はなく、ある程度自由な発想を生かすことも重要だ。 ところで企業が、ホームページを作る場合には、その多くは広告的効果をねらったものだろう。ホームページと言えども広告の一種。したがって広告の場合の注意点と同じく、人権への配慮を忘れてはならない。せっかく企業イメージを高めるためにホームページを作っても、人権意識の欠如から、社会的に非難されるホームページを作っては、かえって企業イメージがそがれる結果となる。ホームページの作成と言っても、従来の広告の場合と同じ、紛争予防や解決のためのノウハウがそのまま応用できるのであり、当然、広告を主管するセクションないし担当者の意見がホームページの作成や運営に反映する仕組みを前もって作って置く必要がある。 ホームページは双方向性のツール ところがホームページと、一般の広告との間には明らかな違いがある。それはホームページは、これを見る顧客と双方向でつながっているという点だ。一方通行の広告と違う点で、これこそがホームページの作成や運営にとって、もっとも重要な違いといってよいだろう。ホームページを開く以上、できるだけヒット数が多くなること、つまり人気を高め、広告効果を高めたいと思うのは当然だ。 しかしそれだけ多くの人が、ホームページを開くということは、それだけ電子メールでの問い合わせに対する対応も必要となるし、「問題ある人」も呼び入れる結果となる。ところが、ホームページを立ち上げることばかりに目がいって、後者のリスクに注意がなかなか行かないのが現状である。 1997年、警察庁が、一部上場企業900社と大学100校を対象に実施した調査によると、専従のセキュリティ担当者を設置しているのはわずか4%にすぎず、28%が、セキュリティ担当者さえ設置していないかった(平成10年版警察白書42頁)。 多発するメール爆弾やハッカーの攻撃 このような状況下、1998年10月8日には、音楽CDなどのチャートで有名なオリコンが、ホームページ上で実施していたプレゼント企画の応募者2000人以上の個人情報が流出し、別のホームページで掲載されていたことが発覚した(同日付け読売新聞夕刊)。 1998年10月26日には、インターネットでアンケート調査などを実施していたマーケッティング会社のコンピュターに何物かが侵入し、社内データを消したうえ、会員の個人情報を盗んで、うち77人分の名前、住所、電話番号、電子メールアドレス、銀行口座番号が別のホームページに掲載された事件も発覚している(同日付け読売新聞朝刊)。 こうした事件の8割は内部犯行だといわれているが、仮に外部からのハッカー(※注1)の仕業だとすると、ホームページのセキュリティの不備がつかれたことになる。 ハッカーばかりではない。1998年11月8日付け日経新聞月曜日版によると、この夏以降、全国の地方公共団体で、大量の意味のないメールを受け取って、ホストコンピュータや通信網が動かなくなると言う被害が相次いでいるという。こうしたメール爆弾などとも呼ばれる攻撃からのセキュリティ対策も非常に重要だ。 セキュリティの甘さは社会の迷惑 報道されたこれらの事件は氷山の一角で、今年に入って、不正アクセスやコンピュータウイルスの被害が急増していることが報告されている。 コンピュータ緊急対応センターが確認した不正アクセスの件数は、1998年7-9月期で3266件にものぼり、これは4-6月期に比べ、10倍以上という。情報処理振興事業協会によると、コンピュータウイルスの届け出件数も急増している。 同協会が、ウイルス被害の届け出制度をスタートさせたのは、1990年4月からであったが、初年度は14件であったものの、94年には1000件を突破し、97年は2391件に達した。ホームページに舞い込んだメールが会社にとって興味深いものであったため、転送メールで会社の関係部署に多数送ったところ、会社のホストコンピュータがウイルスに汚染されてしまったという笑えない話まで寄せられている。 最近では、手口が巧妙化しつつあるハッカーは、直接目的のデータベースをハックするという手法は取らなくなってきているという。そんなことをすると、通信ログから簡単に逆探知される可能性があるからだ。 そこでまず目的のデータベースにアクセスする前に、いったんセキュリティの甘いネットワークにハックし、そこを足掛かりにして、次々とベースを作り、最終的に目標のデータベースをハックする。ハッカーは、まんまとどこかのアドレスになりすまし、最終目標のハッキングを完成させるわけである。被害者は、ハッキングに気づいても、ベースとなったアドレスしか跡がわからず、クレームをつけようにもハッカーの所在さえわからない。 こうした場合、ベースにされたところも被害者といえようが、アメリカでは、最終的被害者が、こうした2次的被害者のセキュリティの甘さが被害を引き起こした原因だとして、2次的被害者に対し損害賠償を起こすことを可能にする「ダウンストリームライアビリティ」という法理も主張されており、既にホームページのセキュリティ対策は、笑いごとではすまされなってきている。セキュリティの甘いネットワーク端末自体が、社会の迷惑のような認識になりつつあるのだ。 著作権の処理は専門家に聞けばすぐにわかることだが、ホームページを開くと継続的に問題となるのは、むしろこうした不正アクセスやコンピュータウイルスの問題なのであり、ホームぺージを立ち上げる前に、社内で、セキュリティ対策全般について十分な措置を施すべきだろう。一度流出した社内情報は、もはや回復することはできないものであり、企業機密が漏洩されれば企業活動にとって致命的な損害を被るおそれがある。顧客情報など顧客のプライバシーが流出すれば、企業イメージにとってもはかりしれない損害が出ることになる。 セキュリティ対策の徹底を セキュリティ対策は、まず1にも2にも、不正アクセスやコンピュータウイルスの侵入をまず未然に防ぐ措置が重要である。次に、仮に不幸にして不正アクセスやコンピュータウイルスの被害にあっても、被害を最小限度にくい止める措置が重要である。 まず前者の措置として、原始的だが、ホームページのパスワードの管理は徹底することである。パスワードはホームページ管理者のみが知り得る状態とし、定期的に変更する。もちろん管理者が変更になったときは、パスワードを変更する。パスワードの定期的変更を行うことで、内部犯行を防ぐと同時に、仮に不正アクセスが行われたとしても、長期間の不正アクセスを防止できることになり、損害を最小限にくい止めることが可能となる。後者との関係では、ホームページに接続するコンピュータを特定のものとし、これを社内のLANにつなげないことが重要だ。そうすることで仮にそのコンピュータがウイルスに汚染されたとしても、そのコンピュータだけの被害ですむし、不正アクセスされたとしても、その被害はLANには及ばず、社内のホストコンピュータに保存されている会社内情報が流出することは未然に防げる。 1998年1月、大手人材派遣会社のテンプスタッフに登録中の個人データ約9万人分が、インターネット上に流出し、大きな社会問題となったと言う事件がある( ※2)。 後に、被害にあった女性登録者とテンプスタッフとの間で訴訟沙汰にまで発展したが(※3)、データの流出は、外注会社の社員の一人がノート型パソコンを持ち込み、無断でデータを入力して社外に持ち出したことが原因だった。 この事件は、社内犯行であることがはっきりしている事件だが、事件を機に、テンプスタッフが取った対応が、企業の個人情報保護対策やセキュリティ対策を考える上でも非常に参考になる。 つまり事件を機に、同社は、ノート型パソコンや外部記憶装置を社内に持ち込ませない、PDA(小型携帯端末)と社内のパソコンは接続してはいけない、1MB以上のファイルは電子メールで送信できない、サーバーにアクセスするためのパスワードは3ヶ月ごとに強制的に変更するなどの措置をとったという。 コンピュータ同士をみだりに接続しない、外部への電子メールは1MB未満とする点などは、不正アクセスを防ぐという点でも重要だろう。しかもこうした対策は、ごくごく初歩的なもので、その実行もきわめて容易であることに注意する必要がある。テンプスタッフでも、当初こうした規制ができれば、当然、パソコンの使い勝手が悪くなると心配されたが、社員からさほど不満は出てきていないという(以上テンプスタッフの例は日経パソコン1998年8月24日号による)。 念のため言っておくが、セキュリティ対策は転ばぬ先の杖だということだ。 ホームページを作る以上、顧客の問い合わせメールにできるだけ対応する努力がまず必要だ。顧客のメールを無視することは、企業の評判を落とす結果となる。だからこそホームページを作る以上、顧客と安心して対峙できるような仕組み、つまり常日頃からのセキュリティ対策が最重要の課題となるのである。 以上 ※1 ハッカーとクラッカー-本ホームページでの使用例-参照。 ※2 この事件の詳細は、派遣労働ネットワーク/東京ユニオンのホームページ(http://www.t-union.or.jp/)参照(-ただし01/08/11現在、テンプスタッフ事件の報告は、サイトから削除されているようです)。 ※3 ちなみに僕は、この事件の被害者側の弁護団に参加した。現在は、テンプスタッフ側が非を認める形で、和解にて終了している。 |
追加:2004年2月27日UP
オウム問題で多忙なこの時期、2月23日に発覚したヤフーBBの情報流出問題についての取材も殺到していますが、上記の原稿のとおり、今回の事件は、おそらく初歩的なセキュリティ対策のミスだと思います。
下記のようなソフトバンクBBが出した図面を鵜呑みにする記者の追及は、弱すぎます。もっとソフトバンクBBの管理の状況を具体的に聞くべきです。