どうすれば個人情報に対する意識を高められますか? 57
ストーリー by mhatta
転ばぬ先の杖 部門より
転ばぬ先の杖 部門より
Anonymous Coward曰く、
最近、暴露ウイルスや情報媒体の紛失、不正アクセスなど様々な要因によって個人情報の漏洩事件が起きています。
情報漏洩対策は、情報を扱う組織全てで早急に対応すべき業務だと思いますが、対策が不十分なせいか、情報漏洩事件の件数は減少しているようには思えません。特に、「暴露ウイルスに感染する可能性の高いマシンに個人情報を保存する」「個人情報をブログ等に掲載する」等が原因で発生した事件については、多くの類似事件がニュース等で取り沙汰されているにも関わらず、未だに同じ原因での情報漏洩が起こっており、「個人情報を漏らした組織は,キツい社会的制裁を受ける」という認識もまだまだ一般的ではないように思います。
そこで/.Jの皆さんにお伺いしたいのですが、皆さんが所属している組織では、情報漏洩に対してどんな啓蒙活動を行っていますか? また、皆さんが個人情報を扱う際に注意していることは何ですか?
なおタレコミ人の場合は,情報に対して「誰が○○の情報を知っても良いか」「情報を××に配置すると誰に知られ得るか」「情報を扱う人に良識と常識があるか」を意識するよう注意しています。
意識を高める以前に (スコア:5, 興味深い)
前にいた会社、1000人はいないけど大会社の子会社でISOもきっちり取得している会社だったけど、社内のオンライン社員電話帳に生年月日が載っていたのにはたまげたよ。情報部門の責任者に誰がこのデータを提供して載せてんだと聞いたら人事だとさ。で人事の責任者にどういう了見でそんなデータを提供しているんだと確認したらそんなことはしてない、と。情報部門の連中が勝手に人事システムからコピペして載せてんだと。この間に情報部門のしたことは生年月日だけ一見不可視な状態にしただけ。データまとめて落とせば誰でも全フィールドが見える状態だわさ。また、何で電話帳に必要なデータ以外は全部消さないのかと聞いたらシステムを良く知っている人しか見えないからこれでいいんだとさ。見るのはオレくらいだからだとさ。オレなら見られてもいい訳?オレ全社員の男女別の年齢分布表とか作っちゃったよ。それ以前に責任者は生年月日が見えてるとは思っていなかったし。情報部門の連中はシステムに入っているデータは全て自分の好きにしていいと思ってるし、人事はシステムの事がよく分からないのをいいことにデータの管理責任放棄してるし。もう、馬鹿かと。
人事部門とシステム部門で働くには国家資格を必須にしろよと本気で思ってしまったよ。
Re:意識を高める以前に (スコア:1)
>人事部門とシステム部門で働くには国家資格を必須にしろよと
不特定多数に影響がないものに対しては、基本的に管理者が直接規制する方針かと
まぁ入れるとしたら個人情報保護法に取り扱い資格とかつけてって所でしょうが
そうすると圧倒的に人が足りなくなると思う
それが文系だ (スコア:0)
Re:それが文系だ (スコア:0)
Re:意識を高める以前に (スコア:0)
何の害があるのさ?
って思っている人は少なくないと思うけどなぁ。
自分が存在する限り個人情報も自動的に存在するわけで、その情報を保護(秘密に)したいっていうこと自体に無理があるんじゃないの?
生まれてしまったからには、半ばあきらめモードで、恥ずかしくないように生きるのが吉だと思うけど。
Re:意識を高める以前に (スコア:2, 興味深い)
女性は非常に嫌がりますね。
ピンと来ない人には「社内の人からとは言えあまりよく知らない人から突然『○○歳の誕生日おめでとう!』メールが届いて嬉しいですか?」と言うととても良く納得してくれます。
#ああ、そうだ。男女別の年齢分布表を作る事ができたのはデータの中に性別フラグもあったからだった。
Re:意識を高める以前に (スコア:1)
生年月日に限らず「実害がなければ漏洩しても問題はない」ということですか...
被害が発生してからでは,到底手遅れなんですけどね.
Re:意識を高める以前に (スコア:0)
大会社でも廊下に「○○さん、お誕生日おめでとう」ってのがあったり、「定年ご苦労様でした」なんて張り紙が有るのを見ると、日本の会社の社内では、生年月日なんて公開情報なんですよ。
#社内で年齢を聞かれて、「個人情報なんで教えられません」なんて言う奴は、どうせ一年も持たないだろうし。
Re:意識を高める以前に (スコア:1, 興味深い)
社員番号に入社年次が入っている会社がたまにありますが、
「入社年次が分かると年齢が類推できてしまう」
「年次が後の方が人間が役職が高いことが分かってしまう」
という理由で社員番号の付け替えをするというケースもあります。
(私の知る限りで2社)
システム的にもお金のかかる変更なのですが、
時代だから、ということでそんなに疑問視されないようです。
Re:意識を高める以前に (スコア:0)
覗いてみたら全社員の給料リストがあった
漏洩情報の可視化しないと (スコア:3, 興味深い)
屍体メモ [windy.cx]
Re:漏洩情報の可視化しないと (スコア:2, 興味深い)
技術的な対策やツールの導入は出来るだけ会社が行うとして,
たとえば,「したら危険なこと」をチェックシートのようにして並べて,
あとは,不明な点(○○はしていいのか)ということは質問を受け付けて,
FAQのような形でフィードバックするのが一番だと思いますね。
「漏れたらもれなく処罰」は,もう常識化していると思うので,
「では,何をしたら漏れるのか」ということをわかりやすく説明することが大事だと思います。
Re:漏洩情報の可視化しないと (スコア:0)
なんとなく (スコア:2, 興味深い)
一部の馬鹿をスクリーニングして、そいつらには扱わせない方法を研究したほうがエネルギーの節約になると思うのですが。
Re:なんとなく (スコア:2, すばらしい洞察)
Re:なんとなく (スコア:1)
全体からその一部の馬鹿を選別するためのコストの方がよっぽど後ろ向きで無駄かと。
Re:なんとなく (スコア:1)
まともに扱っているという認識を持っている人でも
思いもよらないところで漏洩する危険性はある。
問題部分のみ修正(教育)出来るならそれに越したことはないが
やはり企業としては「全体に教育してますよ~」という事実も必要。
こういうのってどうやったら効率良くできるんでしょうね。
私も悩んでます。
Re:なんとなく (スコア:1, すばらしい洞察)
そうでない者も、それなりの過ちを犯すものです。
Re:なんとなく (スコア:0)
うざいけどね。
バカを捜し出せば (スコア:0)
漏れた後の対策が必要なんじゃ? (スコア:2, 興味深い)
個人情報が一旦漏れてしまうと取り返しがつかないという状況を何とかすべきなのではないでしょうか。現状、個人情報を直接収集する業者に対しての管理責任は規定されていますが、一旦漏れた個人情報はほとんど野放しです。
具体的には「不正な手段で入手したり、漏洩した個人情報を無断で使用していた業者」に対して明示的な刑事罰をかけるべきなのでは。こうすれば悪質SPAM業者へのけん制にもなるし取り締まる側もいろいろやりやすくなると思うのですが。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:漏れた後の対策が必要なんじゃ? (スコア:1)
Re:漏れた後の対策が必要なんじゃ? (スコア:1)
脳みその情報はどうやって消すの?
個人情報を由来とする問題の原点は、インターネット上に情報があることじゃなくて、
脳みそに記憶されたの情報だよ。
Re:漏れた後の対策が必要なんじゃ? (スコア:1)
物質的な被害になるのはSPAMなり詐欺なりに使われてからなわけで、それの抑止力がないのとあるのとでは大違いって話。
#漏れてない状態に戻すのが不可能だからって、次善策をとらなくていいって理由にはならない
#ってことが理解できない人って案外多いね。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:漏れた後の対策が必要なんじゃ? (スコア:1)
なるほど、USの証人保護プログラムみたいに、
漏らされちゃった人には、全く新しい人生を提供すれば良いんだ!
モラルでなんとかしようとするのがそもそも無理 (スコア:2, すばらしい洞察)
Re:モラルでなんとかしようとするのがそもそも無理 (スコア:0)
Re:モラルでなんとかしようとするのがそもそも無理 (スコア:0)
モラルなんて不要、というか期待する方が馬鹿。
Re:モラルでなんとかしようとするのがそもそも無理 (スコア:0)
扱える人間を限れば見極める必要がある人の数は減るから少しは負担が減る。別ACだけど親コメントはそういうことも含めてシステムと言ってるんじゃないかと。
#1207049にあるように情報を持つこと自体をリスクと捉えて扱う分量を最小限に抑えるとか、末端の個人の意識を云々言う前に考えるべきことは沢山あると思う。
個人情報を扱う際に注意していること (スコア:1, おもしろおかしい)
なので会社でも自分の携帯の番号を他人に教えたり、他人の携帯の番号を教えて
もらったりしません。べっ別に会社で嫌われてるからじゃないんだからねっっっ!
とはいえ、仕事で受け渡しする名刺は言うに及ばず、仕事中に社外からかかってきた
電話の取次ぎメモですら個人情報になり得る訳で…それでもなんとかなってるのは
単にまともに仕事してないからではないかと不安になる今日この頃orz
啓蒙活動は (スコア:1)
いつの間にかISMS対策が業務の柱になってます.
逆に考えるんだ (スコア:0)
Re:逆に考えるんだ (スコア:1)
とまれ個人情報ってのがそもそも曖昧でなんなのかわかりにくいやね。
痛い目に遭うしかないんじゃね? (スコア:0)
問題は馬鹿のせいで巻き添えを食う大量の無関係な被害者が出ちゃってる事だけど、それに関してはやっぱり流しちゃった馬鹿を厳罰に処して見せしめにするのが一番効果的だと思うんだけどなあ。
ま、国民を護るのが仕事の筈の法の番犬が悪い事(すぐ「違法じゃない」とか言うのが湧くんであえて「悪い事」と表現しとこう)を散々やってしかも身内に甘いようなんで現実的じゃありませんね。
Re:痛い目に遭うしかないんじゃね? (スコア:0)
・馬鹿は死ななきゃ治らない
このさい極端にしたら (スコア:0)
営業停止中の同一の経営者あるいはその親族などが関係者となる別企業の設立も認めない。
経営者と情報管理担当責任者は即日裁判を経ずに死刑。
くらいすれば、いいんじゃないかと。
Re:このさい極端にしたら (スコア:1, すばらしい洞察)
それだと個人的な恨みを晴らすため漏洩を実践、なんて輩が出て来ませんかね
Re:このさい極端にしたら (スコア:1)
そんなことしたら、個人情報を取り扱う業者がいなくなるだけじゃないですかね。非合法なのは別として。
もしくは、個人情報を取り扱うサービスが一般人には手が出ないくらい鬼のように高額化するとか。
Re:このさい極端にしたら (スコア:1)
んでもって、最終的に生き残るのは、情報隠蔽のやり方や、法の網の目のくぐり方が上手い企業になる訳ですね。
さもなくば、当該法令が死文化するか。
#「癌を完全に取り除けるなら、患者が死んでも構わない」式の方法にしか思えないなぁ。
Re:このさい極端にしたら (スコア:0)
Re:このさい極端にしたら (スコア:0)
啓蒙する前に (スコア:0)
10~100万円/人の損害賠償の支払い義務
漏洩させた個人に対しては,
企業が被った損害の一定割合(故意なら全額)を請求
(支払った賠償金の他に利益の減少による損害も含む)
という風潮を確立して周知すれば,自然と意識も高まるのでは?
前者は,高額の賠償金+社会的制裁で多額の損害が出ると認識させ対策を立てさせる.
後者は,交通死亡事故のように起こしたら人生お終いと認識させることで抑止.
例えば5億円(損害額10億円の50%)とか請求されたら普通の人は払えないし.
Re:啓蒙する前に (スコア:2, 参考になる)
はっきりいって、そこまで個人情報に価値があるのかという点につきると思う。
日本の法律では、アメリカと違い、損害賠償に社会的制裁の分を加える事は出来ない。
検索してみたところ、実際の裁判の結果として、京都の住民基本台帳の件では、最高裁まで争い一人頭15000円で決着。
TBCの裁判では、東京地裁で22000円の判決が出ているようだ。
幾つかの企業が自主的に支払った500円という金額は安すぎるとしても、10万では高すぎるのが現状のようだ。
その法律は運用できるの? (スコア:0)
どうやって取り締まるのか、どうやって犯人を正確に特定するのか、この辺まで詰めないと机上の空論だよ。
最後の一手 (スコア:0)
Re:最後の一手 (スコア:1)
「こら!えいちてぃーてぃーぴーころんすらっしゅすらっしゅどっとどっとおーあるじー!」
「えいちてぃーてぃーぴーころんすらっしゅすらっしゅすらっしゅどっとおーあるじー、は僕じゃないですよ」
「えいちてぃーてぃーぴーころんすらっしゅすらっしゅすらっしゅどっとどっとおーあるじー、ならトイレに」
#書いてて自分で混乱してしまった・・・・
でも、これなら漏れても問題なしだよね
犬が犬であるように、猫でありたい
Re:最後の一手 (スコア:0)
社内でもほとんどの部分はビジネスネームで回すと。
Re:最後の一手 (スコア:1)
Re:最後の一手 (スコア:1)
犬が犬であるように、猫でありたい
他人の事には無頓着 (スコア:0)
管理が甘くなるというか、いつまでたっても他人事なんだと思います。
住基ネットのときも感じたのですが、まずはシステム構築に賛成した
役員・管理職の情報のみを投入し、システムテストすべきではないかと。
そして、それらの情報は本稼動後も常に残しておくようにすること。
これができない(くらい不安な)システムなら、客の情報を扱うな!と。