KDDIが個人情報漏えい事件の再発防止策を発表

個人情報漏洩事件は日々発生していますが、最近発生した大規模な情報漏えい事件といえばKDDIの顧客情報漏洩事件でしょう。もちろん本ブログでも取り上げました。
KDDIの個人情報漏洩事件　 ２００６年６月１４日

さて、今回の情報漏えい事件を受けてKDDIでは事件発生直後から情報セキュリティ対策の見直しを行ったそうなのですが、その結果として今後どのような情報セキュリティ対策を行っていくのかを発表しました。
お客様情報流出の再発防止に向けた情報セキュリティ強化対策について　KDDIニュースリリース　２００６年８月２日

まず、発表された情報セキュリティ対策のコンセプトを見てみましょう。コンセプトは以下の４つです。（KDDIニュースリリースより抜粋）

(1) 情報流出およびデータ抽出防止
(2) 証跡確保
(3) 情報セキュリティ対策の有効性測定、客観性確保
(4) 当社社員および業務委託先等社員に対する教育の徹底

今回の情報漏えい事件では、アクセスログが残っていなかったため原因究明ができていないということもあり、「証跡確保」が挙げられています。また、KDDIの社員だけでなく、業務委託先の社員に対する教育の徹底ということも挙がっています。派遣社員、委託社員への教育というのは情報セキュリティ対策の中でも非常に重要なものです。今まで実施していなかったのならば大問題です。早急に実施していただきたいと思います。

次に、今年度内に行うセキュリティ対策ですが、（1）物理的セキュリティ，（2）技術的セキュリティ，（3）管理的・人的セキュリティの３つを大枠として、細かく述べられています。詳細はニュースリリースを見てください。

この発表された情報セキュリティ対策を見る限り、今後KDDIの情報セキュリティはかなり厳しくなると思われます。そして、おそらく業務委託先などにもかなり高度な情報セキュリティ対策を求めることになるのだろうと思います。KDDIをメイン顧客にしている中小規模の企業はこれから大変ですよ。

また、これらの情報漏えい対策のために、KDDIは１００億円を投資するそうです。
KDDIが個人情報漏えい事件の再発防止策を発表，投資額は100億円　IT Pro　２００６年８月２日

投資額１００億円とはすごいですね。ソフトバンクのときもそうでしたが、情報漏洩が発生すると直接的な被害だけでなく、間接的な被害、また再発防止策のための莫大な費用が発生します。どうせ情報セキュリティ対策にお金をかけるのなら、情報漏えいが発生後より、発生前にかけたいですよね。しかし、後悔先に立たず、人は痛い目を見ないと行動できないものなのです。