呑んべえ柴やんのセキュリティABC

情報漏洩を防ぐ大人の嗜み

借りたものすら返せなければ情報漏洩の当事者にならざるを得ない事例

f:id:BighelpSecurity:20150519190409j:plain

グーグル音声検索の呼び出し方が「おっけー ぐ~るぐる」でも大丈夫なことを発見したので「オッケー グーグル」はサクっと断舎離してみた柴やんです

ところで今回はクラウドだギガだテラだとデータ保管場所の大容量化に恩恵をうけることが多くなりましたが、数が増えるほど世間をにぎわすのが情報漏洩事件でありまして。

考えたくもないことですが万一の場合に備えて、目に見えないけれどデータという情報をどう管理していくのかを見直すときにも、使い終わったデータが存在してないかという確認をすることが大切だという話です。

本日の大人の嗜み

利用目的を達成した顧客情報や業務情報は必ずスパっと削除する習慣を徹底しよう

ポイント解説

・情報漏洩の原因には本来起こるべきではなかったケースもある
・利用目的を達成したら、借りた側は情報の削除を、貸した側は情報削除の確認を

例えば使い終わったはずなのに顧客情報を借りっぱなしにしていた受託業者側から情報漏洩が発生した事件が先日ニュースになっていましたね。

japan.zdnet.com

機密保持契約を結ぶケースは一般的になっていますが、あれは言ってしまえば、本人の善管注意義務に基づく記憶に対する口封じなわけで、もしも本人の記憶以外にも他人が見たりコピーできたりできるデータという形で情報が存在すると事例の原因にもなるわけです。

本来なら機密保持契約以外にも利用後にデータ消去・廃棄証明についても同意を取り交し、業務上の目的を達するまでを期間として必要な情報に対して与えていた使用権を回収(データの場合は削除させる)したことを確認することが必要です。

上記事例では該当企業の経緯説明において当事者が利用する機器設定上の不備でインターネットから閲覧可能な状態という表現がありましたが、そもそもデータ削除の事実について双方で同意していれば今回の事件は発生しておらず。


ちなみに大きな企業のみならず、中小企業や個人事業主・士業の方であっても、更にもし特に業務の委託や受託を伴わないとしても情報漏洩の当事者となる可能性はあります。

例えばメルマガ読者の登録に最低限必要な情報はメールアドレスだけのはずですが、氏名まで取得しているケース、無料のPDFを提供する代わりにメールアドレスや氏名を取得するケースなどがあります。

例えばメルマガ読者が購読を停止した場合、配信先リストからきちんと削除しているのでしょうか。

もちろん、受注確率を上げるためにはある程度の訴求先が大切な事は承知しています。
しかしながら、購入見込みのない潜在顧客リストをいつまでも溜め込んでいった場合、もし情報漏えいを引き起こした時にどう説明するのでしょうか。

万一の場合には、購入したこともない方々に対しても当然のことながら謝罪や場合によっては賠償も含めて対応しなければなりません。

難しい事ですが「足るを知る」、いろんな情報の管理にも当てはまると思います。

まとめ

・個人としてデータのたな卸しを行い不要なデータ(顧客・個人情報)は削除しよう
・会社で業務を委託する場合には機密保持契約だけでなく、受託者にデータ消去・廃棄証明書など業務終了後に委託先に情報が存在しないことを書面で確認しよう


以上、梅酒仕込みにむけて青梅の吟味に余念がない柴やんでした!? また来週!