ユーザー情報の保護と管理を行う「個人情報保護法」
 |
| CDやUSBメモリーで簡単に個人情報を持ち出せる時代。開発途中でも厳重な管理が必要 |
システム開発において注意しなければならないのが、従業員と委託先の管理です。法律制定のきっかけの一つとなった宇治市住民基本台帳データ漏洩事件(1999年)では、宇治市が開発会社に委託した市民住民基本台帳の名簿管理を開発会社の下請けアルバイトが名簿業者に販売したことから発生しました。
個人情報や情報資産をしっかり守れる会社かどうか、外部からはなかなかわかりません。そこで第三者が社内にしっかり守れるマネジメントシステムが構築されているか、格付けする制度としてプライバシーマーク、ISMS、ISO27001があります。
ハッキング行為を罰する「不正アクセス禁止法」
アクセス権がないのに社外秘になっているファイルへアクセスするなど、いわゆるハッキング行為を罰する法律が不正アクセス禁止法。システム開発よりも運用管理で考慮しておく必要があります。Yahoo! BBの個人情報漏洩事件(2004年)では退職した社員の個人アカウントは削除していましたが、使っていたグループ・アカウントを放置していたのが原因でした。最近は外部からの攻撃が増えています。昔はセキュリティを突破することを誇る愉快犯的な犯罪でしたが、今は金銭目的で不正アクセスを行いカード情報を盗み出し、カードの不正利用が行われています。攻撃されている側が気がつかずカード会社からの第一報で初めて知ることが多数。自社の通信回線を監視し、自社ネットワークへの侵入を検知して管理者に通報する侵入検知システム (IDS)などの導入は必須です。
