V.S.A. III

　社員証をネックストラップで首から提げるようになったのはいつからだったでしょうか．携帯電話を首から下げていた友人を「なんじゃそりゃ」とか言って笑っていたのに，いつのまにかそれが当たり前になってしまいました．社員証も携帯電話も首から下げてジャラジャラと．私もその一人．友人の先見の明に尊敬 (@_@)

　ukon さんが，「セキュリティと個人情報保護」というタイトルでブログを書いていますが，「社員が他の社員の社員証を見て個人情報保護の観点からリスクってありますかねぇ？」という質問に対して思うところを．．．

　社員証をぶら下げている「リスク」はあるか？と言われれば，「リスクはあります」が答えですね．ukonさんは「他の社員が」「社員証を見る」というケースを挙げていますが，社屋には社員ばかりではなく，様々な人が出入りしています．その社員証をみて，名前を覚え，詐称するということは可能です．もちろん，社員も．つまり，それが個人情報かどうかにかかわらず，社員証を見て得られる情報を使って発生するリスクは存在します．

　ukonさんの質問に戻って「個人情報保護の観点」からではどうでしょう？
　そもそも個人情報保護法において「『個人情報』とは，生存する個人に関する情報であって，当該情報に含まれる氏名，生年月日，その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ，それにより特定の個人を識別することができることとなるものを含む．)をいう．」となっています．本人の氏名は個人情報ではありますが，社員証に記載された氏名は，電子的に容易に照合できないという点で，個人情報保護法で定める個人情報には当てはまりません．
　これを踏まえた上で，電子媒体以外の一般的な意味での「個人情報」という点では，名前を知られることによるリスクは存在すると思います．

　しかし，「リスクを受容できるか？」という質問であれば「受容できる」と考えられます．よくあるのは，リスクの存在と，リスクの受容(保有)の混同です．ukonさんが間違っているということではありません．リスクが存在しないわけではなく，そのリスクがどのようなものであるかを吟味しなければならないということです．

　「リスク」は一般に「脆弱性」「脅威」「情報の価値」によって決まります．それぞれの積と考えればよいでしょう．情報の価値が大きくても，脆弱性や脅威が小さければ，そのリスクは対策を採らなくてもよいかもしれません．
　リスクが存在するから対策をとらねばならない，というのは少し短絡的な考え方です．情報セキュリティの対策をどこまでやらなければならないのかというのは確かに難しい話ですが，発生する可能性が小さいのであれば，リスクは小さいと言えます．

　社員証から名前を覚えて，それを使って何か悪さをする，というのはありえるかもしれませんが，名前だけではそれほど大きなリスクを抱えているとは考えにくいですね．外部から，その名前を使って電話をかけてくる，パスワードを聞く，などのソーシャルエンジニアリングの手口での脅威はあるかもしれませんが，不可解な電話にどのように対応するか，というような点は教育によってリスクが低減されていると，私は信じたいです．

　あとは，社員番号．ちゃんと分析したわけではありませんが，感覚的には，ちょっと怖いかな，という気はします．が，シールを貼る，などの手段も取れないわけではないですよね．ケースから出すことも少なくないですが，少し工夫すれば，わざわざ作り直す必要もなさそうです．本当にそのコストをかけるに値するリスクなの？ということですね．

　あるいは，経営者判断で，会社の名誉にかけて，それほどのリスクであっても見逃せない，などということであれば，それはそれで，まぁ，アリかもしれませんが．

　もう少し書き足りないところもありますが，リスクについて考えすぎて知恵熱で風邪もまっつぁおなので，今日はとりあえず，この辺でクスリでも飲んで寝ます(-.-).zZ

カテゴリ：情報セキュリティ , 雑感

<< 埼玉県民の日にメールのセキュリティを考える | Main | 情報セキュリティガバナンスは「攻め」なんス >>