個人情報漏洩事故への対策の立案
個人情報の委託先が1000社以上の国内大手広告企業、業界で発生する個人情報漏洩事故の大半が委託先によるものだった。
「個人情報漏洩事故」に対する調査、対策の立案
国内大手広告企業
広告業
売上2兆円に迫る大手企業
- 導入サービス:
- 情報セキュリティプロジェクト支援
課題
多すぎる委託先から監査対象の15社を選定
導入後
予算と期限と問題があり、監査をおこなうとしても50社が限界。どのようにサンプリングをおこない、これからの施策をどのように打ち出すのかがポイントとなっていた。
ISSUE
課題・背景3つのグループを均等にサンプリング
そこで敢えて、3つのグループを均等にサンプリング。業界のリーディング企業、認証取得企業(ISMSまたはプライバシーマーク)、認証を取得していない企業。それぞれを15社強選んで、調査を開始した。
SOLUTION
選定と導入業界のリーディング企業は予想以上にセキュリティレベルが高い
よって当該企業との関係性から立ち入った監査が困難な場合が多かった。認証取得企業については、認証を持っていることとセキュリティレベルが相関しないことがわかった。整った規程が存在し、教育・監査を実施していても大半の企業が十分な対策をおこなえていると言い難い状況だった。この結果からいくつかの対策が浮かび上がってきた。
RESULT
導入後の成果と今後もっと立ち入った調査の必要性
監査の結果からいくつかの対策が浮かび上がってきた。
・1万件以上の個人情報を委託している先に対する、監督レベルを強化する。
・リーディング企業以外の会社に上記案件を委託している場合には立ち入り調査を実施する。
・認証取得はセキュリティ強度と相関しないと考え、認証を持っているから調査不要という規程を見直す。
委託先監督の仕組みについて、プライバシーマークは形式的な要求ばかりしてきて、ISMSは殆ど要求していない。当社が本件含め様々な事案から学んだことではあるが、委託先の10%程度に対しては、立ち入り調査をおこなうべきだろう。
