昨日に引き続き書きます。
明治安田生命さん、2006年4月7日にも似たような個人情報漏洩・流出問題を起こしています。
このときは、個人情報が入った業務用PCの紛失です。この際の弁明に、パスワードと暗号化をしているから大丈夫とのこと。事の真偽は別として、少なくとも次の2つの問題点があります。
(1)社外に個人情報を持ち出して仕事をすることも止む無しという状態にも関わらず、それに対する情報セキュリティ対策が取られていない。
(2)個人情報等の機密性の高い情報は、最小単位(ファイル単位)でセキュリティ対策を打つべきなのに、これが実行されていない、あるいは、これをルールで謳っていない。
まず、1点目ですが、持ち出しては管理できないので、そんなことは許していない！というのであれば、どこかの会社がやっているように、24時間出入口で持ち物検査はするべき(これでも紙での持出は防止できないはずだが・・・)だし、持ち出してもいいとするならば、セキュリティ対策を2重3重に実施できるPCを最小単位とし、Windowsログオンのパスワード認証以外にも、TPMチップ等を利用したHDレベルでのアクセス認証やUSBキーを利用したファイルシステム自体のアクセス認証、フォルダあるいはファイル単位での暗号化あるいは隠蔽のうち、2つ以上の方法で情報保護すべきです。
2点目ですが、OS丸ごと暗号化が悪いわけではありませんが、パスワード一つで暗号化が解けるより、1点目対策にも記述した、ファイル毎、あるいは、フォルダ毎に以下の対策のいずれかはすべきと思います。
(1)パスワード認証
(2)パスワード認証のフォルダロックあるいはフォルダ隠蔽
(3)単純暗号化
(4)DRM暗号化(2008/9/15日版日経コンピュータの「委託先が信用できない」で紹介されています。)
どれを選択するか(老番の方がより強固になります。)はありますが、(1)では弱すぎる気はするので、(2)以上をお奨めしたいですネ。