簡単に言うと「金」です。
※詳細は本文を読んでください。
では組織側はどのような対策を立てる事が出来るか。
外部からの不正アクセスに関しては、テクノロジーと監視に頼るしかありません。
テクノロジーは日進月歩していますが、ハッキングする側のスキルも日々向上していますので、いたちごっこですが、何とかハックングできるまでに時間をかけさせて「諦めさせる」事が必要になります。
ただこれには、莫大な資金が必要になる為、組織の個人情報保有レベルや投入できる資金にもよります。
監視は一日一回アクセスログのチェックによる監視が最適です。
内部の不正アクセスと不正持ち出しには、有効な対策はありません。
何故なら、目先の「お金」になるからです。
特にお金に困っていなければ、不正に持ち出す事のリスクとのバランスが保たれます。
しかし、お金に困っている場合、そのバランスが崩れます。
組織は、個人情報に対する責任を従業者に負わせて業務を行う事になります。
責任に対して、対価が無い、又は少ない場合、従業者の反発が起きます。
これは過度の責任を負わせているからです。
また、個人情報の保管をしているサーバのチェックが不十分と認識した場合、「ばれない」という認識が生まれ、不正アクセスと不正持ち出しに対するハードルが低くなります。
対策としては、教育、従業者とのコミュニケーション、アクセスログの監視、必罰しかありません。
ただし監視や必罰は、個人情報の多さや組織の規模により柔軟に運用する必要があります。
行き過ぎた監視や必罰は、従業者の不満対象になる為です。
組織が小さければ、発見した場合マンツーマンで話す事が有効です。
組織が大きければ、相手に納得の上でスケープゴートになってもらうのも一つの手です。
組織を運営する上で、柔軟な対応が望まれます。
今回のベネッセ個人情報流出事件で判るように、流出すると、大きな損害が発生します。
損害額は少なくても、信用の回復には、時間と労力とお金が必要になります。
個人情報を守るは、顧客を守る事でもあり、会社の資産を守る事でもあります。
その為には何をするべきか。
経営者は考える必要があります。
0 件のコメント:
コメントを投稿