皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に書きました問題、元社員は懲戒解雇になったようですが、それ以前の問題があるような気がしませんか？

日経新聞における情報管理の甘さ

この報道を見ている限りでは、元社員は他の社員の業務用パソコンを分解し、ハードディスクを抜き取った上、営業秘密に相当する全社員約3000人分の賃金などのデータを私物のパソコンに転送したとされています。

また、この賃金などのデータは月刊紙を発行する団体に郵送されたとのこと。

ここで問題なのは、何故それほど簡単にデータを取得できるような保管方法を取っていたのかです。

日本経済新聞社と言えば、日本において知らない人はいないくらいの知名度の高い大企業で、間違っても中小・零細企業ではありません。

また、IT系の情報を掲載している媒体も出しており、セキュリティ問題に関しても把握はしていたはずです。

常識的に考えれば、これほどの大企業が一社員のパソコンのハードディスクに賃金などのデータを保管するでしょうか？

クラウドを採用していなかったのであれば、厳重にセキュリティのかかったサーバルーム内のサーバにデータを保管し、ハードウェアにもロックをかけ、データそのものも簡単にはデータ取得できない仕組みになっていなければいけません。

正直、零細企業や小規模事業者のレベルに思えます。

情報を外部漏えいさせた元社員は当然悪いですが、会社としても情報管理に非常に甘さがあり、起こるべくして起きた事件と言えるのではないでしょうか。

この他にも、日経電子版の読者約34万人の氏名、年齢、メールアドレスなどの個人情報、日経ヴェリタスの読者情報約3万6000人分などのデータが持ち出されたことも社内調査で判明したようです。

事業者の皆さん、情報セキュリティ対策は外部からのサイバー攻撃だけではありません。

内部の人的な要因による問題も発生しますので、その部分も含めた対策が必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、いよいよ改正個人情報保護法が施行されたわけですが、近しいところに聞いた限りでは全くもってその認識はありませんでした。

そのようなこともあり、今日は改正個人情報保護法のおさらいです。

改正個人情報保護法の基本をチェック

まず、今まで適用除外とされていた小規模事業者（保有する個人情報が5000人以下の企業）に対しても個人情報保護法の対象になります。

個人事業主も例外ではなく、『個人情報を取得して、事業の用に供する者』すべてが対象になります。

そして、以下のことが必要になってきます。

１．個人情報を取得する際、利用目的を定め、本人に告知する

予め利用目的を特定し、本人に伝えるか、ホームページや店頭での掲示などにて公表する必要がある

２．取得した個人情報は定めた目的以外には使用しない

取得した個人情報は特定した利用目的の範囲内で利用する

取得済みの個人情報を特定の目的以外で利用したい場合、予め本人の同意が必要

３．取得した個人情報は安全に管理する

電子ファイルのパスワード保護、セキュリティソフトの活用、紙媒体は施錠可能なところに保管など

４．個人情報を第三者に提供する際、本人の同意を得る

個人情報を第三者に提供する場合は、原則、本人の同意が必要

法令に基づく『警察からの照会』などの場合、災害時などの人命に関わる場合で本人から同意を得るのが困難な場合、商品配送時の配送業者への業務委託などは同意が不要

５．本人からの『個人情報の開示請求』に応じる

保有している個人情報に関して、本人からの開示、訂正等の請求に応じる必要がある

これらのことを基本に、個人情報を保護しなければいけません。

当然、個人情報保護に対する社員教育も必要になります。

参考として、以下の記事もご覧ください。

『改正個人情報保護法施行日迫る』

『個人情報保護法を再度確認する』

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

インターネット環境があれば、いつでもどこでも保存したファイルにアクセスできるクラウドストレージサービスですが、利用規約次第で注意をしなければいけないものもあります。

さて、それはどのようなことでしょうか？

コンテンツに対する使用権などの付与

まず、下記の利用規約を読んでみて下さい。

本サービスにユーザーがコンテンツをアップロード、提供、保存、送信、または受信すると、ユーザーは Google（および Google と協働する第三者）に対して、そのコンテンツについて、使用、ホスト、保存、複製、変更、派生物の作成（たとえば、Google が行う翻訳、変換、または、ユーザーのコンテンツが本サービスにおいてよりよく機能するような変更により生じる派生物などの作成）、（公衆）送信、出版、公演、上映、（公開）表示、および配布を行うための全世界的なライセンスを付与することになります。
このライセンスでユーザーが付与する権利は、本サービスの運営、プロモーション、改善、および、新しいサービスの開発に目的が限定されます。

このライセンスは、ユーザーが本サービス（たとえば、ユーザーが Google マップに追加したビジネス リスティング）の利用を停止した場合でも、有効に存続するものとします。

Google社 利用規約より

お客様は、マイクロソフトに対し、本サービスをお客様および他のユーザーに提供するため、お客様および本サービスを保護するため、ならびにマイクロソフトの製品およびサービスを改善するために必要な範囲で、お客様のコンテンツを使用する (たとえば、本サービス上のお客様のコンテンツを複製する、保持する、送信する、再フォーマットする、表示する、コミュニケーション ツールを介して頒布するなど) ための世界全域における知的財産のライセンスを無償で許諾するものとします。

Microsoft社 サービス規約より

これらの規約は、クラウドストレージサービスを運用している企業側に対して、アップロードしたコンテンツの使用権などを付与してしまうことを意味します。

重要な機密情報であったりするユーザーデータに関して、こういった権利を付与してしまう可能性を秘めた内容があれば避けた方が無難であるとも言えます。

ただし、すべてのクラウドストレージサービスが必ずこの限りではなく、これらの規約がないものも当然ありますので、まずは利用規約をしっかりと熟読し、そこにデータを保管することに問題がないかどうかを確認することが重要です。

クラウドストレージの同期に注意

もう1つ注意した方が良いものがあります。

多くのクラウドストレージサービスにおいてデータの同期が自動的に行われる機能（ツール）がありますが、万が一コンピュータがランサムウェアの攻撃を受けたしまった場合にはコンピュータはそれによって暗号化されてしまうため、クラウドストレージと自動で同期されてしまった場合においては無意味な保存先となってしまいます。

つまり、万が一の消失などに備えて保管しているデータは復旧に使えないものとなってしまうということです。

こういったリスクを少しでも軽減するには、複数のバックアップ先を用意しておくことが望ましいでしょう。

メディア、ローカル、クラウドストレージなど、有事の際の復旧手段をいくつか選択可能な状態にしておくことです。

また、これ以前の話しとして、セキュリティ対策を怠っていては話しになりませんのでご注意を。

パスワードを使い回ししているのではないでしょうか？

皆さん、こんにちは。

業務コンサルタントの高橋です。

パスワード設定で失敗しているケースは山ほどあります。ここ最近においても、

パスワードが類推しやすいものであったがために非常に痛い目にあっている

ケースがあります。

最悪は他人をも巻き込み、多大な迷惑をかけてしまうことすらあります。

では、どういったパスワード設定をすると良いのか？

使うシステムなどの制限にもよりますが、アルファベット・数字・記号が全て

使えるものであれば全て使うのが良いです。

アルファベットは大文字と小文字の両方を混在させ、似ている英数字や

同じ文字を複数回使わないようにする。

トータルの文字数としては、１２文字以上とするのが良いです。

記号が使えないシステムなどであれば、この条件から記号を外した考え方

でパスワードを設定するのが良いでしょう。

今はインターネットなどで探せばパスワードを生成するツールがあります。

それで条件を設定して自動生成してもらうと考えなくても済みます。

また、パスワードを保管する場合、ネットワークがつながっていない場所へ、

パスワード付の圧縮ファイルとして保管するとか、暗号化ソフトを使用し、

暗号化した状態で保管するなどすると良いでしょう。

かなり面倒な作業になってはしまいますが、大切なものを守るためには

それくらいするのが丁度良いと思ってください。

毎日使うのでそこまでは出来ない！と思われた方、自分以外は知らない

ものでパスワード設定していますか？

自分でもヒントがないと忘れてしまいそうなくらい他者が知らない情報を

日々の作業用パスワードにしているとするならばまだ良いかもしれません。

しかし、それも定期的に変更することを前提にしておくべきでしょう。