9月9日にこのブログの訪問者が一挙に600人を超えた。
「無税入門」のあらすじをアップしたところだったので、刺激的なタイトルに惹かれた人が多いのかと思ったら、まぐまぐの円高に関するニュースで、榊原英資さんの「強い円は日本の国益」がリンクとして紹介されていたからだった。
本日民主党政権の閣僚名簿が発表される。はたして榊原英資さんが何らかの形で内閣入りするのか注目されるところだ。
ところで自宅に昨晩夜遅く電話が掛かってきた。こちらの名前も知っているし不動産の売り込みだという。
どうやってこちらの名前と電話番号を知ったのかと聞くと、「いやぁー、エリートビジネスマン名簿というのがあるんですよ。」ということだ。
”エリートビジネスマン 名簿”で検索すると、この本で紹介されているイアラという会社が表示された。
今回自動車保険の見積もり依頼をしたので、どこかに出した個人情報がこの会社のデータベースに登録されたようだ。この会社は名簿屋としては最大手で、なんと自社のホームページに「個人情報保護法はやわかり」というパンフレットまで掲載しており、消費者から問い合わせあれば削除などに必ず応じると明言している。
一度電話してまずは開示請求。次に削除、利用停止を申し入れてみる。
ちなみに近々改訂される見込みの経産省の個人情報保護法ガイドラインでは、消費者から開示請求があった場合、”個人情報の取得元又は取得方法(取得源の種類等)を、可能な限り具体的に明記し、本人からの求めに一層対応していくことが望ましい”と規定されている。
ただ現実問題、名簿屋が情報ソースを明かすかどうかは疑問ではあるが、具体的な会社名ではなくとも取得ソースの業種等がわかれば、推測がつく場合もあるので、政権交代早々に経産省ガイドラインを改訂して欲しいところだ。
社員監視時代 (ペーパーバックス)
著者:小林 雅一
販売元:光文社
発売日:2005-06-24
おすすめ度:
クチコミを見る
社員監視時代というタイトルだったので、学生時代に読んだジョージ・オーウェルの1984年を思い出したが、実は情報セキュリティの本だった。
1984年 (ハヤカワ文庫 NV 8)
著者:ジョージ・オーウェル
販売元:早川書房
発売日:1972-02
おすすめ度:
クチコミを見る
いきなり個人情報漏洩事件の話から始まり、ソフトバンクBBが導入した監視ソフトSeer Innerが紹介される。
このSeer Innerとは、筆者も導入したことがあるSeer Insight社の、コンピューター端末のリアルタイム監視ソフトだ。
こんな具合に利用者の端末の操作画面が表示され、誰がどういう作業をしているのか画面がリアルタイムで監視できる。
その社員のパソコン画面だけ大きく表示する機能もあるので、社員がパソコンでトランプゲームなどをしていると、管理者にすぐわかってしまう。
写真出典:Seer Innerサイト
ソフトバンクBBは、このSeer Innerを導入するとともに、オペレーションルームの厳しい入退室管理に加え、ビデオカメラでの監視も実施している。
同社のSOC(Security Operation Center)では、常時十数名の社員が24時間・365日監視にあたっており、社員・アルバイトも含めた15,000台のパソコンを監視している。
リアルタイム監視といっても、網の目をくぐり抜けて不正を行う社員もいるかもしれないが、常時監視していると社員に告げることによって、過去起こったような個人情報漏洩持ち出し事件は防げると関係者は断言している。
Seer Innerの他にもAll WatcherやLanScopeCatというログを、システマティックにすべて収集するソフトも紹介されている。
フォレンジック(Forensic)という聞き慣れない言葉があるが、犯罪科学という意味で、これらソフトはForensicソリューションと呼ばれている。
オフィスの生産性向上にも役立つ
社員の監視というとネガティブなイメージがあるが、マイクロソフトが提供しているIPA(Individual Productivity Assessment)と呼ばれるサービスは、ホワイトカラーの生産性改善を目指したものだ。
それ自体はあまり儲からないということなので、現在もマイクロソフトがIPAサービスを提供しているかどうかわからないが、この本でも紹介されている東洋タイヤのケースがマイクロソフトジャパンのホームページに紹介されている。
エンジニアの仕事ぶりを2週間程度カメラで記録し、それを分析して生産性改善点をレポートするというサービスだ。たとえばエクセルのコピーアンドペーストの使い方や、ショートカットの活用等で、生産性がアップする。
最大の抵抗勢力はシステム管理者!?
この本では情報セキュリティ導入の裏話も紹介していて参考になる。監視ソフト導入の最大の抵抗勢力はシステム管理者だという。
アクセスログは証拠として調査される可能性があるが、従来はシステム管理者は都合の悪いログは削除していたのだと。
にわかには信じがたい話だが、ありうる話なのかもしれない。
社員監視システムは「砂上の楼閣」
この本で参考になったのが、リアルタイム社員監視システムとかは、見た目には派手で、社員に与える不正抑止効果もあるが、LANの内部を暗号化しないと、監視している画面から情報が漏れ、セキュリティホールとなって、情報漏洩のリスクが増えるという指摘だ。
だからセキュリティは順番が大事で、まずLANに流れるデータを暗号化するのが大前提だと。
LANの中身を暗号化するソフトはフリーソフトもあるが、製品として提供しているメーカーは少ない。セキュリティ業界にとっては、LANの内部を暗号化するというのは商売にならない。
だからクライアント企業に教えず、内部情報の暗号化なしに監視ソフトを入れる「砂上の楼閣」が増えているのだと。
なるほどと思う。
情報がすべて暗号化されていれば、万が一漏洩しても本人への連絡も、監督官庁への報告も不要だ。非常に役立つ指摘である。
個人情報名簿業者の実態
もう一つ参考になったのが、個人情報を売買する名簿業者への取材だ。
この本では名簿業者大手のイアラ・コーポレーション社長にインタビューしている。
いままで名簿業者とはどういう会社か実態がわからなかったが、この本で紹介されているイアラ・コーポレーションはホームページもあり、2005年の個人情報保護法施行以降も事業を続けている。
まさに個人情報保護法に従った適法な名簿販売業をやっており、いわゆるオプトアウト方式で、削除しろと言われたら削除するというやり方で、個人情報を販売している。
同窓会や各種団体の会員名簿などリストとして販売しているものの紹介と、5,000万件のデータから希望のターゲットを絞ってリストアップするサービスがある。
イアラは元々はブレーンという会社で、ダイレクトメールなどのダイレクトマーケティングの会社だったが、ダイレクトマーケティング部門は日立グループに販売して、日立ブレーンという会社になり、リスト部門だけが残っているものだ。
イアラ社長の話で印象に残ったのが、名簿業者が販売しているデータはどれも「名前、住所、電話番号」だけだという。
つまり元データは電話帳等なので、それだけではどんな意味のある個人情報かわからないが、イアラの保有する大量のデータから名寄せして、条件にあった人をリストアップしてデータベースとして販売しているので、たとえば高額納税者リストとか、意味のあるデータとして売れるのだという。
この本は2005年発刊だが、2007年3月の経産省の最新のガイドラインでも、名前、住所、電話番号のみの名簿は電話帳と同じ扱いとなる。名簿業者のビジネスは、依然として適法なのである。
個人情報漏洩の唯一完全な対策は、個人情報を持たないことだと言われているが、特に利用価値のない住所と電話番号は、保有せずに削除して、必要な時に都度個人から取得するというのが、有効な個人情報セキュリティ対策となってくるだろう。
「1984年」現代版
最後にジョージ・オーウェルの「1984年」の現代版ショートストーリーもある。
著者の小林雅一さんは、大学を卒業して某大手電機メーカーに入社したそうだが、昼の12時ちょっと前に同期みんなで、社員食堂に行ったら、だれも皿を取ろうとしない。
みんな白線の向こうで待機しているのだ。12時のブザーが鳴って初めて、みんな動き始めたと。
これを聞いて、筆者は思い当たる会社がある。筆者もたぶんその会社と思われる会社の社員食堂に行って、全く同じ体験をしたからだ。
最後に本当の監視も出てきて、なかなか面白く読める本だった。
情報セキュリティに興味のある人に役に立つ、おすすめできる本である。
参考になれば次クリックお願いします。
「無税入門」のあらすじをアップしたところだったので、刺激的なタイトルに惹かれた人が多いのかと思ったら、まぐまぐの円高に関するニュースで、榊原英資さんの「強い円は日本の国益」がリンクとして紹介されていたからだった。
本日民主党政権の閣僚名簿が発表される。はたして榊原英資さんが何らかの形で内閣入りするのか注目されるところだ。
ところで自宅に昨晩夜遅く電話が掛かってきた。こちらの名前も知っているし不動産の売り込みだという。
どうやってこちらの名前と電話番号を知ったのかと聞くと、「いやぁー、エリートビジネスマン名簿というのがあるんですよ。」ということだ。
”エリートビジネスマン 名簿”で検索すると、この本で紹介されているイアラという会社が表示された。
今回自動車保険の見積もり依頼をしたので、どこかに出した個人情報がこの会社のデータベースに登録されたようだ。この会社は名簿屋としては最大手で、なんと自社のホームページに「個人情報保護法はやわかり」というパンフレットまで掲載しており、消費者から問い合わせあれば削除などに必ず応じると明言している。
一度電話してまずは開示請求。次に削除、利用停止を申し入れてみる。
ちなみに近々改訂される見込みの経産省の個人情報保護法ガイドラインでは、消費者から開示請求があった場合、”個人情報の取得元又は取得方法(取得源の種類等)を、可能な限り具体的に明記し、本人からの求めに一層対応していくことが望ましい”と規定されている。
ただ現実問題、名簿屋が情報ソースを明かすかどうかは疑問ではあるが、具体的な会社名ではなくとも取得ソースの業種等がわかれば、推測がつく場合もあるので、政権交代早々に経産省ガイドラインを改訂して欲しいところだ。
社員監視時代 (ペーパーバックス)著者:小林 雅一
販売元:光文社
発売日:2005-06-24
おすすめ度:
クチコミを見る
社員監視時代というタイトルだったので、学生時代に読んだジョージ・オーウェルの1984年を思い出したが、実は情報セキュリティの本だった。
1984年 (ハヤカワ文庫 NV 8)著者:ジョージ・オーウェル
販売元:早川書房
発売日:1972-02
おすすめ度:
クチコミを見る
いきなり個人情報漏洩事件の話から始まり、ソフトバンクBBが導入した監視ソフトSeer Innerが紹介される。
このSeer Innerとは、筆者も導入したことがあるSeer Insight社の、コンピューター端末のリアルタイム監視ソフトだ。
こんな具合に利用者の端末の操作画面が表示され、誰がどういう作業をしているのか画面がリアルタイムで監視できる。
その社員のパソコン画面だけ大きく表示する機能もあるので、社員がパソコンでトランプゲームなどをしていると、管理者にすぐわかってしまう。
写真出典:Seer Innerサイト
ソフトバンクBBは、このSeer Innerを導入するとともに、オペレーションルームの厳しい入退室管理に加え、ビデオカメラでの監視も実施している。
同社のSOC(Security Operation Center)では、常時十数名の社員が24時間・365日監視にあたっており、社員・アルバイトも含めた15,000台のパソコンを監視している。
リアルタイム監視といっても、網の目をくぐり抜けて不正を行う社員もいるかもしれないが、常時監視していると社員に告げることによって、過去起こったような個人情報漏洩持ち出し事件は防げると関係者は断言している。
Seer Innerの他にもAll WatcherやLanScopeCatというログを、システマティックにすべて収集するソフトも紹介されている。
フォレンジック(Forensic)という聞き慣れない言葉があるが、犯罪科学という意味で、これらソフトはForensicソリューションと呼ばれている。
オフィスの生産性向上にも役立つ
社員の監視というとネガティブなイメージがあるが、マイクロソフトが提供しているIPA(Individual Productivity Assessment)と呼ばれるサービスは、ホワイトカラーの生産性改善を目指したものだ。
それ自体はあまり儲からないということなので、現在もマイクロソフトがIPAサービスを提供しているかどうかわからないが、この本でも紹介されている東洋タイヤのケースがマイクロソフトジャパンのホームページに紹介されている。
エンジニアの仕事ぶりを2週間程度カメラで記録し、それを分析して生産性改善点をレポートするというサービスだ。たとえばエクセルのコピーアンドペーストの使い方や、ショートカットの活用等で、生産性がアップする。
最大の抵抗勢力はシステム管理者!?
この本では情報セキュリティ導入の裏話も紹介していて参考になる。監視ソフト導入の最大の抵抗勢力はシステム管理者だという。
アクセスログは証拠として調査される可能性があるが、従来はシステム管理者は都合の悪いログは削除していたのだと。
にわかには信じがたい話だが、ありうる話なのかもしれない。
社員監視システムは「砂上の楼閣」
この本で参考になったのが、リアルタイム社員監視システムとかは、見た目には派手で、社員に与える不正抑止効果もあるが、LANの内部を暗号化しないと、監視している画面から情報が漏れ、セキュリティホールとなって、情報漏洩のリスクが増えるという指摘だ。
だからセキュリティは順番が大事で、まずLANに流れるデータを暗号化するのが大前提だと。
LANの中身を暗号化するソフトはフリーソフトもあるが、製品として提供しているメーカーは少ない。セキュリティ業界にとっては、LANの内部を暗号化するというのは商売にならない。
だからクライアント企業に教えず、内部情報の暗号化なしに監視ソフトを入れる「砂上の楼閣」が増えているのだと。
なるほどと思う。
情報がすべて暗号化されていれば、万が一漏洩しても本人への連絡も、監督官庁への報告も不要だ。非常に役立つ指摘である。
個人情報名簿業者の実態
もう一つ参考になったのが、個人情報を売買する名簿業者への取材だ。
この本では名簿業者大手のイアラ・コーポレーション社長にインタビューしている。
いままで名簿業者とはどういう会社か実態がわからなかったが、この本で紹介されているイアラ・コーポレーションはホームページもあり、2005年の個人情報保護法施行以降も事業を続けている。
まさに個人情報保護法に従った適法な名簿販売業をやっており、いわゆるオプトアウト方式で、削除しろと言われたら削除するというやり方で、個人情報を販売している。
同窓会や各種団体の会員名簿などリストとして販売しているものの紹介と、5,000万件のデータから希望のターゲットを絞ってリストアップするサービスがある。
イアラは元々はブレーンという会社で、ダイレクトメールなどのダイレクトマーケティングの会社だったが、ダイレクトマーケティング部門は日立グループに販売して、日立ブレーンという会社になり、リスト部門だけが残っているものだ。
イアラ社長の話で印象に残ったのが、名簿業者が販売しているデータはどれも「名前、住所、電話番号」だけだという。
つまり元データは電話帳等なので、それだけではどんな意味のある個人情報かわからないが、イアラの保有する大量のデータから名寄せして、条件にあった人をリストアップしてデータベースとして販売しているので、たとえば高額納税者リストとか、意味のあるデータとして売れるのだという。
この本は2005年発刊だが、2007年3月の経産省の最新のガイドラインでも、名前、住所、電話番号のみの名簿は電話帳と同じ扱いとなる。名簿業者のビジネスは、依然として適法なのである。
個人情報漏洩の唯一完全な対策は、個人情報を持たないことだと言われているが、特に利用価値のない住所と電話番号は、保有せずに削除して、必要な時に都度個人から取得するというのが、有効な個人情報セキュリティ対策となってくるだろう。
「1984年」現代版
最後にジョージ・オーウェルの「1984年」の現代版ショートストーリーもある。
著者の小林雅一さんは、大学を卒業して某大手電機メーカーに入社したそうだが、昼の12時ちょっと前に同期みんなで、社員食堂に行ったら、だれも皿を取ろうとしない。
みんな白線の向こうで待機しているのだ。12時のブザーが鳴って初めて、みんな動き始めたと。
これを聞いて、筆者は思い当たる会社がある。筆者もたぶんその会社と思われる会社の社員食堂に行って、全く同じ体験をしたからだ。
最後に本当の監視も出てきて、なかなか面白く読める本だった。
情報セキュリティに興味のある人に役に立つ、おすすめできる本である。
参考になれば次クリックお願いします。
