背伸びをしたルール

佐賀県の「Saga Education Informaition Network(SEI-NET)への不正アクセスの問題で、以下の報道がなされていました。

>佐賀県の県立高校で導入されているネットワークなどが不正にアクセスされ、生徒の個人情報が大量に漏えいした事件で、佐賀県教育委員会は、ネットワークに対する内部監査を少なくとも過去3年間は行っておらず、規定に違反した状態だったことが分かりました。
>佐賀県では、情報セキュリティーを守るため、県が導入したシステムやネットワークについて、定期的に内部監査を受けるよう「佐賀県情報セキュリティ基本方針」で定めていて、この規定に違反した状態が続いていたということです。

http://www3.nhk.or.jp/news/html/20160629/k10010575811000.html

この手の、「ルールはあっても運用がされていない」というものは、情報漏えいや情報消失などの事件などが起こるたび、内部事情としてよく出てくる話です。

最近で有名なところでは、国民年金機構からの情報流出事故がそうですし、あるいは、少し前になりますが、レンタルサーバー会社における大量情報消失事故でも、ルールを無視した運用が常態化していたということがありました。

情報管理を行うにあたって、間違いを犯さないためのレールを敷くことは、大切なことで、ルールという筋道に沿って規則正しく運用されていれば、少なくとも、内部の人の過失により情報を漏えいする機会は少なくなりますし、本件のような内部監査が適切に行われれば、被害の拡大前に問題に気づくこともでき、また、発生した被害の拡大を防ぐためにも有用な手段をとることができます。

もっとも、それは、その組織で守ることのできるルールである場合であって、立派なルールでも、それが過重であって守れないものなら意味がないし、逆にルールを作ったところで満足してしまうことを考えると、むしろ危険でさえあると思われます。

最近は、マイナンバー法の施行に伴い、各社で取扱規程等の策定がなされていると思われますし、また、改正個人情報保護法の施行を前に、従来個人情報取扱事業者ではなかった自営業者、会社でも、対応を考えているところも増えていると思います。その際、今作っているルールは、本当に自分の組織にあったルールなのかということを振り返っていただければと思います。背伸びをしすぎて転ばないように、気を付けてください。