内部不正に係る個人情報セキュリティ対策とは
内部者による個人情報の流出
IT利用者、利用シーンの多様化、インターネットを介したコンシューマ向けビジネス機会の増大に伴い、大量の個人顧客データの収集・活用は必然となっています。一方で、大量の顧客個人情報の外部流出は、事業に大きな影響を及ぼします。
内部犯行・インシデントレビュー
新技術の浸透、業務の協働化により、ビジネス環境が常に変化する中、セキュリティに万全はありません。
同様のインシデントについて、貴社は、適切な情報セキュリティ管理を実施している、と利害関係者に説明できるでしょうか?
本サービスの概要
本サービスは、多岐・複雑な内部犯行の発生要因について、情報管理の側面から、貴社顧客個人情報の流出につながる環境を検出し、状況を評価いたします。
貴社におかれましては、内部不正対策の一環として、検出した環境の改善につなげることで、流出機会の低減に寄与いたします。
本サービスの特徴
個人情報保護を含めた情報セキュリティに係る当社知見、これまでの評価・監査プロジェクトの当社ノウハウを活用し、有効かつ効率的な評価を実施いたします。
-
point1 調査対象は、ビジネスインパクトの観点から、影響が甚大に及ぶものにフォーカスします。 具体的には、「内部者」による顧客個人データの「大量流出」に関係するものを調査対象とします。
調査対象の
着眼点
|
内部者
|
‐システム管理などの相対的に高いIT技術を有する要員
‐分業化、専門化された業務
‐監視性が低い業務
|
|
大量流出
|
‐顧客個人データの保管量(*1)
‐持ち出しの外部接点になる環境
|
-
point2 IPA公表の「内部不正チェックシート」に、 個人データ保護、情報セキュリティに係るリスク管理、サイバーセキュリティ対策等、当社情報セキュリティ専門家の知見を加えたチェックリストを利用します。
調査項目
(概略)
|
組織的・人的調査項目
|
‐基本方針、顧客個人情報管理手続の整備状況
‐要員周知、委託先管理の実施状況
|
|
物理的・技術的調査項目
|
‐制限区画へのアクセス状況・監視状況
‐ネットワーク、システム、クライアント環境、及び
それらを通じたデータアクセス状況・監視状況
|
-
point3 調査結果から現在の環境を整理し、大量の顧客個人データの流出につながる状況を評価します。
|
評価
|
危険な状況
|
未許可の持ち出しが直ちに可能な環境
|
|
要注意な状況
|
ある条件が揃えば、未許可の持ち出しが可能な環境
|
|
管理された状況
|
未許可の持ち出しが困難な環境
|
報告書イメージ
| 評価 |
大量の顧客個人データ持ち出しに対し、危険な状況にあります。 |
|
検出事項
|
- データベース管理者が、制限区画への私物持込ルールは形骸化しており、私物スマートフォンの持ち込みが可能であります。かつ、管理者用PCにスマートフォンを接続し、デバイス側からデータ同期が可能であるため、未許可の持ち出しが直ちに可能な環境です。
- データベースのアクセスログ及びPCの操作ログを収集・保存しているものの、監視・分析が実施されていないため、未許可の持ち出しを検知できない環境にあります。
|
|
改善提言
|
- ユーザデータのローカル保存を禁止する。
- データベース管理者のユーザIDに管理者用PCのローカル特権がないことを確認するとともに、当該PCのデバイス制御ツールがスマートデバイスの使用制限に対応していることを確認する。
- 制限区域への持込ルール、監視カメラ等のモニタリングを見直す。
- データベース管理者の業務内容を見直し、ユーザデータの保守業務及びユーザデータへのアクセス権限を分離する。
- 今後、同様の技術変化に対し、現在のコントロールが新たな脅威に対して有効であること、脆弱性がないことを、定期的及び必要に応じて見直すことを定め、見直し結果を責任者に報告する。
|
|
想定イメージ
|
|
提供価格等
|
標準実施期間
|
2ヶ月
|
|
標準提供価格
|
¥3,000,000~
|
オプション
・確認範囲を「内部不正」に絞っていますが、「外部脅威」を加えることも可能です。
・改善計画策定の支援も承ります。
セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。
