犯行とは?
|
2002年11月にUFJつばさ証券で顧客情報の流出事件が発覚した。個人情報漏えいの報道は後を絶たない。内部犯行は防げないものなのか――。正当なアクセス権限を持つ者が行為者になる場合,法的にもシステム的にも防止の決め手はない。一方,現状のリスクは高いが,多くの企業で認識されているとは言い難い。今,企業やSEがすべきことを探った。 顧客情報が流出し,名簿業者で販売されていた。流出した名簿は,同社の前身の一つである旧東和証券3支店による2000年2月時点のもので,端末を使ってプリント・アウトされたと推定されている。事件は朝日新聞などが報道し,企業イメージや株価への悪影響があったと思われる 2002年11月7日,UFJつばさ証券は警視庁丸の内署に,顧客名簿に関する窃盗の疑いで被害届けを出した(図1[拡大表示])。盗まれたものは「端末からプリント・アウトしたもののようだ」(同社 広報部)*1。顧客情報は実際に都内の名簿業者で販売されていた模様で,現時点で「既に警察に押収された」(名簿業者)。状況としては,内部犯行による情報漏えいである可能性が高い*2。 事件について,11月12日に朝日新聞が朝刊の一面トップで報じるなど各紙が報道した。株価への悪影響を報じる新聞もあったが,「UFJ銀行の国有化が取り沙汰されていたことなどの影響も考えると,事件の影響度は判断つかない」(広報部)。とは言え,情報の漏えいが顧客などからの信頼低下につながったことは確かだろう。 内部犯行の多くは,アクセス権限を持つ者がデータを持ち出すという,一見単純な話だ。それが繰り返し起こってしまうのは,「管理がずさんなだけなのか」あるいは「防ぎようがないものなのか」――。実際に事件が発生した企業のほとんどはその原因や事件後の具体策を明らかにしていない。今回,個人情報の流出があった企業の状況やセキュリティ先進企業の現状,法律の問題を調査した。企業やシステム管理者は今,個人情報の漏えいにどう対処していけばよいのか,明らかになった点を報告する。 個人情報が漏えいした企業は,他社と比べて管理が“ずさん”だったのか。1999年5月に住民基本台帳のデータが流出した宇治市役所の企画管理部 情報管理課 課長の木村修二氏はこう振り返る。「“管理がずさんだ”と言われることもあったが,当時は外部の計算センターにデータを渡すようなことは一般的に行われていた。他と比べて特別“甘い”わけではなかった」 データ流出は,乳幼児健診システムの開発で,孫請け会社のアルバイトがデータを持ち帰って作業したことから起こった。事件後,様々なセキュリティ対策を施したなかで,事件に対する直接の策は「データの市役所からの持ち出しを禁止し,かつ監視者がいる前で作業する」という方針につきる*3。 しかし今では「データの持ち出しに寛容であり過ぎた」(木村氏)と省みる。大量データが小さなメディアで容易に持ち運べる状況や,個人情報が高く売り買いされる状況をかんがみれば,判断は甘かった。 だが,どれだけの企業があらかじめその時代でのリスクを認識できているだろうか。実際に身近で問題が起こらなければ,リスクを感じにくい。個人情報の漏えいに対するコンサルティングを実施するシーピーデザインコンサルティングの代表取締役社長 鈴木靖氏によれば「ある企業で事故が起こった際にその同業者から軒並み問い合わせがきた」と言う。 では,現時点でのリスクをどうとらえればよいのか。情報システムを取り巻く状況,利用者のモラル,企業の責任,の3点でみてみよう。 情報システムを取り巻く状況は,システム化やコンピュータ技術が進み,リスクが高まっている。営業支援システムなど個人情報を用いるシステムが増え,WAN環境の拡充やWWWシステムによって企業の多くのユーザーがデータにアクセス可能な環境が整備された。また,大量データを簡単に持ち出せる状況もある。光磁気ディスク(MO)やCD-Rが普及し,メール,携帯電話やPDAなどでも容易に大量データを持ち出せてしまう。実際,宇治市では21万7617件分のデータをMOでコピーして名簿業者に売られた。 個人情報への正当なアクセス権限を持つユーザーが,自分のフロッピ・ディスクを使って情報を持ち出した場合,刑法では処罰の対象とならない。また現在提案されている個人情報保護法案が成立したとしても,上記ケースを処罰することは実質的にできない 利用者のモラルもあてにできない。まず法律による抑止効果は決め手とならない(図2[拡大表示])。UFJつばさ証券の例では,「プリント・アウトした用紙」が対象の窃盗容疑と思われるが,もし持ち出した者が所有しているフロッピ・ディスクにデータをコピーしたのであれば窃盗の対象にならない。「現状の法律では,“財物”のみが窃盗や横領の対象になり,“情報”は財物に当たらない」(牧野法律事務所 牧野二郎弁護士)からだ。 実際,宇治市役所の例ではアルバイトの元大学院生が所有していたMOであったため窃盗罪には当たらなかった。現状提案されている個人情報保護法案でも,同様な個人情報漏えいのケースにおいて実際的には処罰される確率は低い*4 。「情報漏えいがあってもただちに処罰できず,主務大臣の命令に違反した時点で初めて処罰の対象となる。情報漏えいに対して勧告,命令を受けて,それでも再発させた場合だが,情報漏えいをした本人が同じ会社において繰り返し実行する前に解雇されているのが普通だ」(岡村・堀・中道法律事務所 岡村久道弁護士)。 また「人材の流動化が危険な状況を作っている。派遣社員,アルバイト,退職者からの漏えいが多い」(牧野弁護士)といった声は,様々な方面からある。名簿業者に持ち込まれる場合も「情報漏えいは大体,下請けの会社からといったケースや社運が落ちて愛社精神が低いところから」(名簿業者)と言う。 さらに,個人情報は簡単に換金できる現実もある。宇治市役所のケースでは,持ち出した者はインターネットで見つけた大阪の業者に電子メールで打診し,21万7617件のデータをMOで郵送して25万8000円を得た。 個人情報漏えいの法律的歯止めはなく,ますます起こりやすい状況がある。にもかかわらず,システム的に漏えいを完全に防止する方法は無い。宇治市役所でも防止策として,リムーバル・メディアの制限やプリント・アウトの管理も実施しているが,正当なアクセス権限を持つ利用者に対しては抑止策に頼らざる得ない部分も残る。 さらに,どんなにセキュリティが高くても,発生してしまえば企業の管理責任が問われる。宇治市役所の場合,市民からの損害賠償の裁判において,1人1万円の賠償金という判決が出た。 また個人情報の幅は広い。「個人を特定できる情報はすべて。名前がなくても特定できれば同じ」(牧野弁護士)だ。宇治市役所の場合は,氏名,住所,生年月日,性別の4項目で1万円だったが「証券会社が持つ個人情報や医療データなど1件当たり数十万円の賠償にもなり得る」(同弁護士)。ただ,賠償金よりも,顧客の信頼を失う方が損害が大きいだろう。 ■「米国では在宅勤務者向けのセキュリティ対策が課題に」,米ソニックウオール副社長が指摘 (2002/12/07) ■パッチを無効にされる恐れあり,Windowsの深刻なセキュリティ・ホールを解説する (2002/11/27) ■【アンケート結果報告】「勤務先での私的メール利用と監視について」の調査詳細編 (2002/11/01) ■ラックなど4社がセキュリティ支援サービス。Webページの改ざんと情報漏えいを防止 (2002/10/22) ■IIJが電子メール運用の企業向け新サービス。情報漏えいやウイルス対策を代行 (2002/09/02) NTTコミュニケーションズ OCNインフォメーションデスク SIPとIPv6で作るオンデマンドのVPN マルチポリシーVPN for OCN 情報システム 業務アプリケーション 上流工程 SaaS&Enterprise 2.0 グローバル・ソーシング ITpro協力誌 日経コンピュータ 日経コミュニケーション 日経SYSTEMS 日経情報ストラテジー 日経NETWORK 日経ソリューションビジネス 日経ソフトウエア 日経Linux 日経ニューメディア 日経BPガバメントテクノロジー 日経パソコン 日経BPソフトプレス IT経営 システム開発 プロマネ&アーキテクト ネットワーク最新テクノロジー 業績&業界動向 セキュリティ Windows オープンソース 製品&サービス・ディレクトリ 業務アプリケーション 設計開発 OS/DB/ミドルウエア サーバー/ストレージ 運用管理 ネットワーク セキュリティ SIサービス 通信サービス クライアント/OA機器 |
[ 150] 解説●相次ぐ個人情報漏えい,内部犯行は防げないのか(上):ITpro
[引用サイト] http://itpro.nikkeibp.co.jp/members/NOS/ITARTICLE/20030120/1/
|
「朴槿恵(パク・クンヘ)代表テロ事件」を捜査中の検察・警察合同捜査本部の李承玖(イ・スング)ソウル西部地方検察庁長は22日、ブリーフィングで「犯行動機と黒幕に対して厳しく調査する」と明らかにした。 合同捜査本部は検挙されたチ・チュンホ氏(50)の自宅を家宅捜索し、携帯電話の通話照会をするなど捜査に拍車をかけている。チ氏にテロを指示した背後の勢力があるかというのが捜査の焦点だ。 ◆「組織的犯行だ」=今回事件を朴代表を対象にした政治的テロと規定した場合、個人よりは組織的犯行の方に重きがおかれる。政治テロは大部分組織や団体により起こる。チ氏は朴代表の日程を綿密に確認した後、凶器を購入するなど緻密に犯行を準備した。チ氏は昨年もハンナラ党場外集会で暴行事件を起こすなど、反ハンナラ党の性向を強く見せてきた。 李地検長は「チ氏が青松(チョンソン)監護所収監時代、暴行で5回獄中起訴された」とし「処罰される度に裁判所に出した嘆願書は全てハンナラ党を責める内容だった」と明らかにした。 事件当日、現場で乱闘騒ぎをしたパク・ジョンニョル氏(52)も党費を払っているウリ党基幹党員だった。調査過程でチ氏とパク氏は全く知らない間柄だと述べている。しかしハンナラ党関係者は事件当日2人が対話を交わし、現場でチ氏の犯行に同調した人々がもっといたはずだと主張した。 また無職のチ氏が最近70万ウォン(約8万円)台のデジタルメディア放送(DMB)携帯電話を購入し、新しい服を着ていたことなども疑問だ。これについてチ氏は「友達に金を借りた」と述べている。チ氏は周辺の人々に「ソウルの建築事務所に就職した」と話しているという。また特にチ氏のある友人は中央日報記者に「チ氏が最近、誰かが作ってくれたと月限度70万ウォンのクレジットカードを見せてくれた」と言った。チ氏の信用状態ではクレジットカードの発給が難しい。誰かが彼を買収した可能性を示唆するものだ。 ◆「個人的犯行だ」=15年近く収監生活をしたチ氏は服役者時代獄舎関係者らを何回か暴行し、処罰された経歴がある。チ氏はむしろ自身が不当な待遇を受けたという陳情書を国家人権委員会などに提出している。この過程でチ氏は自然に社会に対する不満を育てて来たものという。 テロから得る実益が全然ないという点も単独犯行説に力を添えている。テロがむしろ世論の逆風とハンナラ党に対する同情を呼ぶことが明らかだからだ。チ氏が叫んだという「民主主義万歳」という掛け声は周辺の同調を得るには政治性が非常に弱い。また選挙を控えた状況で政治家の日程は誰でもすぐに分かる。テロの犯行道具として文具用カッターナイフを使った点も容易に腑に落ちない。 捜査結果、チ氏は通話料金を出せず通話停止状態にあったことも明らかになった。 前科者であるチ氏と小企業支店長であるパク氏のつながりも明らかではない。2人以外に同調勢力があるかも不明だ。 |
[ 151] <朴槿恵テロ事件>組織的犯行?単独犯行?
[引用サイト] http://japanese.joins.com/article/article.php?aid=75989&servcode=200§code=200
