大日本印刷が個人情報保護体制の強化内容を公開 39
ストーリー by nabeshin
カード不正請求の却下が簡単にできる仕組みが必要 部門より
カード不正請求の却下が簡単にできる仕組みが必要 部門より
あるAnonymous Coward 曰く、
2006年に過去最大規模の個人情報漏えい事故を起こし、2007年には資本提携したばかりの丸善でも業務委託先であるNTTコミュニケーションズによって約65万件の顧客情報が入った磁気テープの紛失事故を起こされてしまった、印刷業界大手の大日本印刷だが、8月末に公開された2007年度版CSR報告書にて個人情報保護体制の強化についても触れられている。
同社ウェブサイト上で公開されているCSR報告書によると、(1)個人情報をデータ記憶媒体へ出力できる担当者を社員及び子会社社員4名に限定(2)個人情報データの暗号化、ハイセキュリティエリア以外でのデータ記憶媒体の使用禁止、データ記憶媒体及び書き出し作業ログの監視(3)データ記憶媒体の不正持ち出しを防ぐため、ハイセキュリティエリア退出時に金属探知機による検査の実施(4)個人情報取り扱い担当者への再教育の実施(5)外部監査の実施などの対策が挙げられ、また、物理的なセキュリティ設備の強化についても述べられたものとなっている。
見た限り、悪意を持った社員による持ち出しや紛失に対しても対策が取られている様に思えるが、これによって失われた信頼を取り戻すことができるだろうか。また、あなたの会社のセキュリティは大丈夫だろうか。
抑止策でしかない (スコア:3, 興味深い)
おそらく発覚するリスクは承知だったのではないかと思います。
今回の保護強化策は、防止策というよりも抑止策というものであって、
盗み出すことは以前より難しくなったものの、可能であることは
変わりないでしょう。
この四人のうちの一人でも、のっぴきならない状況になって盗まざるを
得なくなったら、おそらく盗めてしまうでしょう。
ログ確認なども、盗まれた事後の犯人探しとしてしか役に立たず、
盗まれた情報を取り返せるわけでもありません。
金属探知器とはいうものの、金属探知器は金属の量によっては反応しない
こともありますので、USBメモリーやmicroSDなどを分解して小さくしてから
持ち込めば分からないでしょう。
せいぜい、四人の給料は一般社員の数倍程度に上げて高額にしておき、
絶対安月給にはしないこと。
多重債務者になってヤミ金に嵌められたりなんかしないように。
Re:抑止策でしかない (スコア:0)
Re:抑止策でしかない (スコア:0)
Re:抑止策でしかない (スコア:0)
>絶対安月給にはしないこと。
印刷会社にそれは無理。印刷業界は給料安いよ~
電機労連がうらやましいのでAC
Re:抑止策でしかない (スコア:0)
分解して持ち込むというのも難しいのでは……ああ、髪の毛の中に隠せば良いのか!
まぁそこまでやっても
1. 監視カメラでUSBメモリを組み立てているところがバレバレ(警備員が常駐しているということは
内部の作業の様子もリアルタイムで監視している可能性が高く、発覚覚悟でやっても即座に警備員が飛んできそう)
2. そもそもUSB端子なさそう&媒体出力口の封印を解く手段があるかどうか不明
という問題が残るわけだけど。
もっとも、正規の手順を踏んで入手した「データ記憶媒体」を他に流されたらどうしようも
無いんじゃないかと。そこらへんの対策もやってんのかな?
あなたの会社のセキュリティは大丈夫だろうかって言われてもねぇ。 (スコア:2, 興味深い)
『ダメだこりゃ』
としか言いようが無いでしょう。
# もっといろんな事に興味を持とうよ。頼むから。
Re:あなたの会社のセキュリティは大丈夫だろうかって言われてもねぇ。 (スコア:2, 興味深い)
しかも私の場合は"大した権限を持っていない"というのもプラスされるから困る
Re:あなたの会社のセキュリティは大丈夫だろうかって言われてもねぇ。 (スコア:0)
>しかも私の場合は"大した権限を持っていない"というのもプラスされるから困る
でも「持てない者」だからこそ、「持てる者が安易に置き晒しにしたネタの重大性」に気がついてしまうという側面もあると思うのですよ。
偉い人だからこそ、「友達の友達がアルカイダ」という顔の広さ [bogusne.ws]の重大性に気がつかないのですよ。
最初はおっかなびっくり扱っている情報も、慣れで麻痺してしまうという事かもしれません。多分。
ウチはだだ漏れです (スコア:1, 興味深い)
NECがグループ企業以外のいわゆるパートナー企業にもほぼ強制で入れさせてる「個人情報調査ツール」。
ディスク内にある全てのファイルをスキャンし個人情報とNECグループの企業名を含んでるものピックアップするという名目のツール。しかもNECの立ち入り調査付き。
NECグループで漏洩事件が続いた挙げ句の策らしいけど、そのツールがもし「ライバル会社の企業名を含んだファイル」の内容をログに出力してて、訪問した調査員が回収したら、何も隠せないよ。
Re:ウチはだだ漏れです (スコア:0)
>「ライバル会社の企業名を含んだファイル」の内容をログに出力
競合他社に漏洩させていないかレベルではなく、競合他社の機密を探ろうというなら、
単なる産業スパイ行為であってNECのリスクが高いだけですよ。
もっとも、オウム教団関連企業に省庁の仕事が発注されていたような事実を見ても、
競合他社の名前があっただけで、NDAを結んでも危ない相手と見る担当者はいるかもしれないけど。
NECでは無い、ITゼネコン末端の1デジタル土方ですが、その手のツールはどこでもやってます。
それが、見える形で実施されているだけで最近の内部統制ソリューションにより、
常駐先ではメールやウェブのプライバシーは無いと言っていい状況が増えています。
導入の時期や、粒度など末端に説明されないから他は無いと勘違いされているだけです。
それを息苦しいと思うようなら、下請け構造に甘えている自社を正すべきでしょう。
Re:ウチはだだ漏れです (スコア:1, 興味深い)
NECは販社から外すという計画で動いてます。売ってくれるところは他にいくらでもいるので。
なんか監視ツールが流行してますが (スコア:0)
「流出した後の犯人の特定がほんの少し楽になるだけ」
で、流出そのものの防止には何の役にもたたないんだけどねぇ。
# いくら位払ってんだろうね。
震災の記憶…… (スコア:2, 興味深い)
きちんとデータを暗号化してたって、そのデータが入った媒体を盗まれた紛失した壊れたなんて事になれば大問題だし。
お国の方針とはいえ、わざわざ定期的にデータをテープ媒体で外部施設に輸送して分散保管するのなんて、もう時代遅れだとは思うんだけれども……
でも、随分前から続く震災のために、外部にデータを保管しない事の恐怖を嫌というほど味わっている以上、止めるに止められないんだろうなぁ。
Re:震災の記憶…… (スコア:1, すばらしい洞察)
時代遅れとかいうならせめて「これが時代にアップ・ツー・デートなメソッドだぜ」って方法書きなよ。
もっというと、その方法が同程度の規模のシステムでどの程度採用されてるかも示してくれないと、ここだけが時代に取り残されてるかわかんないし。
Re:震災の記憶…… (スコア:1)
国が「やったら良いですよ?むしろやれ?」と言っているのに、
たとえ随時更新じゃ無いとしても、多重化の1手段としてテープ輸送してない大企業なんて見たことないですよ!
Re:震災の記憶…… (スコア:1, すばらしい洞察)
おいおい。
方針に反対するからには、*あなた*が代案を示すべきでしょ。
よりよい(up-to-dateな)代案を提示できないってことであれば、
「時代遅れ」という主張には根拠がなかったってこと?
漏れた場合の対応策が無いのは? (スコア:2, すばらしい洞察)
漏れないって前提なんでしょうが、漏れた場合の対応策ぐらい書いておけばいいのに。
漏れた人に取っては、500円もらうより、漏れた情報を利用した詐欺、勧誘電話への対策と漏れた情報の完全な回収が要求なのじゃ?
Re:漏れた場合の対応策が無いのは? (スコア:0)
> 勧誘電話への対策と漏れた情報の完全な回収が要求なのじゃ?
お金なんかじゃありません、うちの子供を返してください
おかあさん、気持ちはよくわかりますがここは冷静になって…
ってやつですか。
個人情報が漏れていいことはないけど、他の事故にくらべて敏感すぎますね。命と違って「対策と漏れた情報の完全な回収」ができそうな雰囲気がありますから。
人ベースのセキュリティはいかがなものか (スコア:1)
それ以前の話として、全部自動化して、人手が介在しないようにすべき。
そっちの方が信頼性高いのでは?
#それは、机上の空論です
Re:人ベースのセキュリティはいかがなものか (スコア:3, すばらしい洞察)
そのシステムのメンテナンスはロボットがやるですか?
Re:人ベースのセキュリティはいかがなものか (スコア:0)
Re:人ベースのセキュリティはいかがなものか (スコア:0)
もちろん人間が同じ事故を何回起こしても、その時事故を起こした人間を処分して後任者に書かせる書類を一枚増やすだけで、人任せのシステム設計に根本的な問題があるのではないかとか一切検討しません。
なるほど、つまりこれからは (スコア:1, 興味深い)
下流行程に流して良いデータなのかどうか内容を確認しないまま、
受け取ったその足で二次受けの制作会社のところへ持ち込んだりはしないワケですね。
それは良かった。二次受けのプレッシャーが減り、事故も減る事でしょう。
Re:なるほど、つまりこれからは (スコア:0)
Re:なるほど、つまりこれからは (スコア:0)
受け取る「二次受けの制作会社」も意識が低すぎるでしょう。
Re:なるほど、つまりこれからは (スコア:1, 興味深い)
> 受け取る「二次受けの制作会社」も意識が低すぎるでしょう。
ちょっと前までDNPから御仕事を頂く制作会社に居たのですよ。
Pマークを取ろうとするところまでも至れない小さな制作会社でしたが、
社内の情報漏洩対策が充分じゃないからと言って、
「受け取らずに御帰り頂く」と言う選択肢は無いです。
意識が低過ぎる? 勿論です!
意識の低い元受にとっては、意識の低い下請じゃないと困る。
そうでないと「意識の低いワークフローでの案件」が成立しませんからね。
意識の低い元受担当の皆様に、喜んで頂けておりました。
意識の低さが嫌でそこから逃げ出しましたけど、
# このDNPの対応が、結果的に
# 「意識の低い元受担当と意識の低い下請を根絶する」
# と言う事であれば喜ばしいと思いますが...。
# そんな事は無いでしょうね。
「データ記憶媒体」 (スコア:1)
Re:「データ記憶媒体」 (スコア:1)
# フロッピーは,金属探知機で発見できるだろうか?
あっ!紙は,データ記憶媒体に入りますか?
# テープとかカードとか...メモ用紙とか
責任逃れ? (スコア:0)
まじめな話、どうやって限定するのかが根本だと思うんですけどね。
一般向けの報告書だからそこまで記述してないだけかもしらんけど。
Re:責任逃れ? (スコア:2, おもしろおかしい)
Re:責任逃れ? (スコア:0)
まず、4名になったと考えればその意味がいくつかあることに気づきます。
・一人ではないということ
自分だけが何かをすることで不正が完結しづらい状況
・1社だけではないということ
身内だけではないので、相互監視の働きを期待
・担当者が決められていること
問題があった場合疑惑はまず自分を含む少人数にかかるということ
一人で不正をするにも、社外の監視の目があり
尚かつ、疑惑の対象となりやすくなるため
不正を行うのに全員を抱き込む危険を冒すことがないようになっているのだと思います。
問題があった場合、まずは個人ではなく会社が責任を負います。
その会社の調査の結果、誰かのミスや意図的なと漏洩かとかが判明するのでしょう。
とはいえ問題があったとき、担当者に対する追求は一般社員よりは強いでしょうね。
まあそれが責任であり、仕事として個人情報を扱うということなのでしょうが。
媒体出力口を封印した端末 (スコア:0)
筐体からドライブを外す/ドライブが無いものに変更するのは無しなんだろうなぁ。
# カメラ付携帯電話の持込み禁止は、当然過ぎるから記載しなかったんだよなぁ。
Re:媒体出力口を封印した端末 (スコア:0)
禁止されているんだろうね。鍵については分からないが、監視カメラでの監視、ログの監視、前述の金属探知検査が
あるので、実質的に何かするのは不可能じゃなかろうか。
Re:媒体出力口を封印した端末 (スコア:2, 興味深い)
入室できる人間が何かを持ち込もうなんて考えれば、いくらでも
やり方はあります。
USBメモリーを分解してみれば分かりますが、すごく小さい。
USBメモリーで一番大きい部品はコネクタ部分です。
口に入れてしまえば、歯の詰めモノと金属量はそんなに変わらないので
反応もしないでしょう。
ログの監視というのも防止には役に立ちません。
あれは事後調査で使うだけです。
コネクタや光学・磁気ドライブの接続部分を封印するのも最低限必要ですが、
ケーブル部分も触れないようにテーブルに完全埋め込み、モニターも
壁に埋め込むくらいにしないとダメでしょう。
キーロガーや画面キャプチャーをする装置を取り付けられないように。
USBなどを持ち込ませないのも大切ですが、持ち込んでも使えないように
するのも必要ということです。
やや過剰に思うかもしれませんが、大日本印刷の情報漏洩事件はヤフー事件の
比ではないくらい重大な事件であり、情報漏洩された真の被害者の損害も
大きなものだったことを考えれば、それぐらいの対策は講じるべきでしょう。
ハイテクなスパイ機器(Re:媒体出力口を封印した端末 (スコア:0)
昔、ちょっと妄想したネタ。
・見た目はただの USB マウス
・実は「USB ハブ(2ポート) + USB マウス」
・マウスのケーブルは実は USB ハブのケーブルで、マウス内部にハブが仕込んである
(内部のハブからマウスに繋がっている)
・ハブのもう1つのポートには USB メモリが繋がっている
・マウスを繋いだだけに見えても、実は USB メモリも繋がっている
・USBメモリにデータコピーした後「マウスが壊れた」とか言って持ち出せば作戦完了
……あれ? USB マウスってハブ経由でも使えるんだっけ?
Re:ハイテクなスパイ機器(Re:媒体出力口を封印した端末 (スコア:1)
安定性が必要でバスパワーで電源を食うもの(シンセキーボード、複合型カードリーダ、オーディオインターフェイス、ペンタブなど)を優先的に直挿すると、必然的にマウスはHUBに追いやられてしまうんですよねぇ
# 「そんなに繋ぐのはお前ぐらいだ」?
# 失礼な、ただ、無理して一台に画像・動画処理とゲームとDTMぶちこんだだけですよ
openDoe-Ming Ver.0.72.9beta
Re:媒体出力口を封印した端末 (スコア:0)
付込まれそうな事実(多額の借金とか)が判明した時点で任を解く/別部署へ異動するのは労基法的にOKなんでしたっけ?
# でも、そう云う事実(家族を含む)を抱えてる本人が認める訳ないしなぁ。
民間企業ではこれくらいの対策が限度? (スコア:0)
って投稿が一切無いってことは、これくらいが民間での限度ってことなんですかね。
これでも事故が起きるならそもそも「個人情報を受託するビジネス」ってモノ自体が成り立たないモノだったって事なのかな。DMとか料金明細は各社が自前でこんなプリンタ [srad.jp]入れる時代が来るのかな?