防犯システムを目的別で探す

機密保持・情報漏洩対策

情報漏洩の８割が「内部犯行」

情報漏洩は約８０％超が内部から発生していることを知って、対策をたてることが「情報漏洩対策」の基本です。

●情報漏洩の原因

最も多いのが、中途退職者（役員・正規社員）で、３６．３％
次が、現職従業員の誤操作、誤認　２１．２％
現職従業員のルール不徹底　１９．５％
現職従業員による金銭目的等　８．０％
契約終了または中途退職した契約社員　１．８％

となっています。

今問題となっているサイバー攻撃などによる社内ネットワークへの侵入は８．０％でしたが、今後は増えていくものと考えられます。

（参照・引用）ソフトバンク　ビジネスブログ

大きな損害となる「情報漏洩」

海上自衛隊1等海佐が安全保障上の重要機密である「特定秘密」を洩らしたとして、2022年12月26日懲戒処分を受けました。
「特定秘密保護法」違反の疑いで書類送検となっています。

数ヶ月前には、「かっぱ寿司」の元社長が以前の務め先である「はま寿司」の原価や仕入先などの営業秘密データを役員であった立場を利用して不正取得して「不正競争防止法」違反で逮捕されました。

このように、情報漏えい問題として、顧客データの流出や機密情報の不正持ち出しなどのニュースが連日のように報道されています。

●川崎医科大（倉敷市）同大教員研究室からノートパソコン12台などが盗難。3台のパソコンには付属病院の患者約100人の個人情報が含まれている。
●岡山大学（岡山市）医歯薬学総合研究科の患者7人分の氏名や治療計画、画像データなどの個人情報が入ったパソコン2台が研究室から盗難。
●大手自動車。顧客情報538万人分。架空請求の二次被害。
●大手銀行　顧客情報86店　96万人分記載のＡＴＭ資料・伝票紛失。名義・住所・口座番号、取引金額など
●テレビ朝日　番組出演者など108名分。インターネットに流出。
●テレビ東京　取材候補先の担当者47人。制作スタッフがWinnyを通じ流出。
●東京社会保険事務所　被保険者4,708人分。情報を含むフロッピー紛失。
●コスモ・ザ・カード会員の個人情報923,239人分。業務委託先を含む内部関係者による漏洩と思われる。
●車上荒らしで保険会社社員が個人情報入りデータディスク盗難。
●メーカーの派遣社員が個人情報データ4万人分を持ち出す。

日本ネットワークセキュリティ協会（JNSA）の「2018年情報セキュリティインシデントに関する調査報告書」によると、
情報漏洩インシデント１件当たりの平均想定損害賠償額は6億3,767万円となっています。

社名が報道された場合には、株価急落によって時価総額が減少するなどの間接被害も想定されることから、最終的に会社の存続に関わるような損失に膨れ上がる恐れがあります。

●会社の信用を失う。

●顧客や取引先を失う。

●多額な損害賠償が発生する可能性がある。

●事業の継続が難しくなることも珍しくない。

情報漏えいに対する社会的危機感の拡大から、個人情報をはじめとした社内データの適正な利用と保護を促すため、企業の情報利用に関わる法制度の見直しが進んでいます。

2022年4月から施行された「改正個人情報保護法」では、漏えい発生時に個人情報保護委員会への報告と本人への通知が義務化されるようになりました。

情報資産の保護だけでなく企業の社会的信用を失墜させないためにも、情報漏えいを防ぐための環境整備は必要不可欠です。

「プライバシー」と「個人情報」の違い

個人情報は「本人を識別できる情報」であるのに対して、プライバシーとは「他人から干渉されない権利」のことを指します。

★プライバシー

「個人や家庭内の私事・私生活。個人の秘密。また、それが他人から干渉・侵害を受けない権利。」（小学館「大辞泉」より)」とされています。

★個人情報

個人情報保護法では、「特定の個人を識別することができる情報」とされています。

例えば、氏名だけでも個人情報に該当しますが、誰の音声かが識別できる音声録音情報や、氏名と社名が含まれるメールアドレス、防犯カメラに記録された顔画像（本人が判別できる程度には大きく鮮明に写っているもの）なども、個人情報に該当する例として挙げられます。

また、個人情報保護法は、「個人識別符号」を含む情報を、「個人情報」に含まれるものと定めています。

「個人識別符号」とは、
身体の一部の特徴を電子計算機のために変換した符号、または②サービス利用や商品の購入に割り当てられ、あるいはカード等の書類に記載された、対象者ごとに割り振られる符号のいずれかに該当するもので、政令で指定されています。

具体的には、
①指紋、DNA、顔の骨格などの身体の特徴データや、
②マイナンバー、パスポートや運転免許証の番号など、個々人に対して割り当てられる公的な番号が、
これにあたります。

【要配慮個人情報】

個人情報保護法は、「個人情報」のうち一部の情報を「要配慮個人情報」と定め、一段高い規律を及ぼしています。
不当な差別や偏見を生じさせるような機微情報については、「個人情報」の中でも取り扱いに配慮すべきとして、情報の取得には、原則として事前に本人の同意を得る必要があると定められています。

何が「要配慮個人情報」にあたるかは、政令で定められています。具体的には、人種、信条、社会的身分、病歴、前科、犯罪被害情報、身体・知的・精神障がいがあることや、健康診断結果等が、「要配慮個人情報」にあたります。他方、国籍や本籍地は、単独では「要配慮個人情報」に該当しないとされています。

①　一般的な個人情報
・氏名、住所、生年月日など
・移動履歴、購買履歴など（他の情報と容易に照合することができ、それにより特定の人を選別することができる情報）

②　個人識別符号
・指紋認識データ、顔画像データ、歩容認証データなど

③　個人識別符号
・個人番号（マイナンバー）
・運転免許証番号
・パスポート番号
・基礎年金番号
・保険証番号。

④要配慮個人情報
・人種・信条・社会的身分・病歴・犯罪履歴・犯罪により害を被った事実

【個人情報に該当する事例】（経済産業省資料より抜粋）
事例１）本人の氏名

事例２）生年月日、連絡先（住所・居所・電話番号・メールアドレス）、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報

事例３）防犯カメラに記録された情報等本人が判別できる映像情報

事例４）特定の個人を識別できるメールアドレス情報(keizai_ichiro@meti.go.jp 等のようにメールアドレスだけの情報の場合であっても、日本の政府機関である経済産業省に所属するケイザイイチローのメールアドレスであることがわかるような場合等)

事例５）特定個人を識別できる情報が記述されていなくても、周知の情報を補って認識することにより特定の個人を識別できる情報

事例６）雇用管理情報（事業者が労働者等（個人情報取扱事業者に使用されている労働者、個人情報取扱事業者に使用される労働者になろうとする者及びなろうとした者並びに過去において個人情報取扱事業者に使用されていた者。以下同じ。）の雇用管理のために収集、保管、利用等する個人情報をいい、その限りにおいて、病歴、収入、家族関係等の機微に触れる情報（以下「機微に触れる情報」という。）を含む労働者個人に関するすべての情報が該当する。以下同じ。）

事例７）個人情報を取得後に当該情報に付加された個人に関する情報（取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できた場合は、その時点で個人情報となる。）

事例８）官報、電話帳、職員録等で公にされている情報（本人の氏名等）

【個人情報に該当しない事例】
事例１）企業の財務情報等、法人等の団体そのものに関する情報（団体情報）

事例２）記号や数字等の文字列だけから特定個人の情報であるか否かの区別がつかないメールアドレス情報(例えば、abc012345@xyzisp.jp。ただし、他の情報と容易に照合することによって特定の個人を識別できる場合は、個人情報となる。)

事例３）特定の個人を識別することができない統計情報

●　「データベース提供罪」ができた。個人情報データベースなどを取り扱う個人情報取扱事業者やその従業者などが、不正な利益を図る目的で提供もしくは盗用した場合、1年以下の懲役または50万円以下の罰金を科せられるという罰則。

改正　個人情報保護法の注意点

2017年5月30日　改正個人情報保護法が施行されました。
今回の法改正により、取り扱う個人情報が5000件以下の小規模取扱事業者でも規制の適用対象となります。つまり、ユーザーの個人情報を扱うスタートアップはどこも個人情報保護法に準拠する必要があるということです。
特に「従業員のマイナンバー」は個人情報であり、守らなければならないものの筆頭です。

従って、会社の規模が小さいから個人情報保護対策はまだやらなくても大丈夫、ということはなくなるので、全ての事業者は注意が必要です。

個人情報保護法の改正点は、個人情報の利用目的の明確化や第三者への個人情報を提供する際に記録を取るなどの透明化を義務付け、データベース提供罪の新設などいくつかあります。

特に、個人情報として明確になったパスポート番号や運転免許証番号といった個人ごとに違う文字、番号、記号の他、個人の身体的な特徴をデータ化した指紋認識データや顔認識データも個人情報として扱う必要があします。また、他の情報と照合することで簡単に個人を特定できる購入履歴や移動履歴も個人情報に含まれるため注意が必要です。

それに加え、個人情報の中でも人種、信条、社会的身分、病歴、犯罪被害情報、犯罪の経歴といった情報は「要配慮個人情報」となり、これらの情報の取得の際には、あらかじめ本人の同意を得る必要があり、第三者提供もできないことをきちんと把握する必要があります。

特に「防犯カメラで録画した人物を特定できる映像」も個人情報であるため、その取り扱いには注意が必要です。
防犯カメラの映像は、人物特定できる鮮明なものは「個人情報」として取り扱う必要があります。

●店舗・工場・マンション・商店街などの防犯カメラの映像に関しては
①　あらかじめ本人に対してその利用目的を明示する必要がある。
➡・店舗などの入り口にポスターやシール等で明示する。
　・（設置先）ホームページのプライバシーポリシーの中に明記する。　

②　（設置先にて）防犯カメラ録画映像の取扱者を決定し、管理規約を明確にする。
・管理規約で防犯カメラの録画映像を見ることができる場合を規定する。
➡この部分を明確にしておかないとプライバシー侵害で訴訟になる可能性もある。

・第三者提供（警察など）に関する規定（条件等）も加える。
・消去まで適切な管理が必要。（保管方法・消去方法なども規定に加える）
・媒体紛失は個人情報漏洩として扱われる。
➡録画装置・モニターの場所や媒体の保管場所の防犯対策が必要。

パソコンがオークションや中古で格安に手に入れることができるようになった昨今、パソコンそのものが盗まれる対象物となりました。
パソコンの盗難は，そのままその中の情報漏洩に繋がります。

個人情報の漏洩が大きな問題になっています。
個人情報は、悪質な企業によって売買取引され、どんどん広まり、悪用されてしまうのです。

企業にとっての「情報漏洩対策」

従業員とも「機密保持契約」を結ぶ。
就業規則に機密文章取扱いに関する条項を入れ、責任者を決め従業員に対する研修を実施する。
鍵は暗証番号や指紋で開閉する「キーボックス」に保管する。
従業員が退社した時にはID・パスワード・暗証番号などを変更する。セキュリティカードなどを抹消する。
防犯カメラを設置する。
防犯カメラで撮影する映像は、デジタルレコーダーに記録する。
情報を取り扱う部屋の入退室を管理する。入退室管理システムで入室できる者を限定するとともに、入室者名、入退室時間を記録する。防犯カメラと連動させる。
パソコンそのものを守るため、パソコン持ち出し防止システムを設置する。
部品や情報を入れたUSBメモリーなどの持ち出しを検知する金属探知器を設置する。

入退室管理システム

各部屋ごとのセキュリティレベルに応じて、カード、テンキースイッチ、指紋や網膜など、生体認証による入退室管理システムを採用し、登録されていない人物の入室をブロックし、誰が、いつ、どの部屋に入室したかを自動的に記録することが、情報漏洩対策として非常に有効です。

「防犯カメラ録画システム」や、侵入警戒システム（自主機械警備システム）と連携させると、なお良いでしょう。

予防・抑止

「侵入しにくい・犯罪を起こしにくい」場所であることを示すことが重要

侵入者は建物の外観を下見して侵入対象を判断します。警備中であることをが分かれば、侵入対象から外れることができます。「犯罪者に狙わせない」ためには、セキュリティの高さをアピールして、「侵入しにくい」場所であることを示すことが重要です。

また、内部犯行者や退職者なども「この会社は防犯対策が万全だから犯罪はできない」と感じさせることで、「出来心」の芽を摘むこともできます。

自主機械警備システムの設置が有効

建物外部に赤外線センサーや防犯カメラ、警報ベルやフラッシュライトを設置することで、警備中であることを示すことができます。見せる防犯。

夜間や休日などに敷地の中や建物内、重要な部屋などに侵入された場合には大音量の「音と光」で威嚇撃退し、犯行を継続させないと同時に、管理者へ異常をメールおよび音声で通報します。

防犯カメラは「犯罪者を特定するため」に設置するとともに、「侵入や内部犯罪に対する抑止力」としても大きく効果を発揮します。

しかしながら、画像での確認はあくまで「事後確認」になるため、自主機械警備システムと連動させ、侵入検知センサーが検知したときに画像で確認することで、「早期対応」を図ることができます。

Pマーク取得企業の防犯対策

マイナンバー制度や個人情報保護法が改正され、全ての企業が「情報漏洩対策」を整備することが義務付けられました。

その中でも、Pマークを取得した企業には大きな責任が伴います。

Pマークを継続して保持するためには、個人情報保護はもちろん、部外者の侵入などの防犯対策を一般企業以上に、より徹底する必要があります。

防犯の基本は犯罪の発生を未然に防ぐ「予防」にある。

企業の防犯カメラ設置時の注意点

Pマークにおける個人情報とは「特定の個人を識別できる情報」のこと。個人を識別できる画像や映像が含まれていれば、それは個人情報になります。つまり、防犯カメラで撮影・録画しているデータも対象になるのです。

Pマーク取得企業以外においても十分に留意する必要があります。

個人の顔が識別できない映像であれば個人情報に該当しませんが、個人を識別して初めて「防犯カメラ」と言うことができます。

現在流通している防犯カメラの映像は非常に鮮明で、夜間でも犯罪者の姿をくっきりとられており、そこから犯人が特定できることが非常に多いです。

その分、個人情報として、録画している映像は十分に考えて対応する必要があります。

防犯カメラで録画していることを明確にする

Pマークでは個人情報を利用する際に本人の許可を得ることが前提となっています。

しかしながら、防犯カメラに映る一人ひとりに許可を取ることはできません。ではどうやって許可を取るかというと「防犯カメラ作動中」「録画映像は万が一の犯罪時に確認します」といった表示をして防犯カメラで録画していることを明確にすることで、この問題は解決します。

撮影された本人が、個人情報を取得されていることを認識できるようにすることがポイントです。分かりやすい場所に、撮影している旨を提示するようにしましょう。

個人情報の利用目的をあらかじめ公表する

防犯カメラのデータについて防犯だけを目的に使用する場合は、利用目的を公表する必要はないとされています。それ以外の目的に使用する可能性があれば、あらかじめ公式サイトをはじめ、誰でも確認できる場所に利用目的を記載しなければなりません。

仮に監視カメラを従業員の業務監視として利用する場合、その利用目的について社員から同意を得る必要があります。同意書に記載してもらうようにしましょう。

個人情報保護法に基づき適切に取り扱う

防犯カメラに映された特定の人物を識別できるデータは個人情報となるため、個人情報保護法に基づき適切に取り扱う必要があります。

防犯カメラのデータの適切な管理法は？

撮影・録画した映像データの不敵な利用を防ぐ主な対策として、録画データが保存されている先にアクセス制限をかけて、誰でも見られる状態にしないことが挙げられます。別媒体にデータを保存しているならば、媒体の盗難対策を行うことも必要です。

防犯カメラのデータは何かあった場合の証拠にもなります。盗まれたり、削除されてしまったりする危険性があります。実際にレコーダーや防犯カメラを破壊して逃走する犯罪者も多くいます。

レコーダーのある部屋にも入退出管理システム、自主機械警備システムを設置します。

外部に管理を委託する場合は、その委託先が情報セキュリティが十分であることが必須です。

録画映像の確認に関してもプライバシーの保護の観点からも十分に留意することが必要です。

・事件が発生したなど、企業として確認する必要がある場合にのみ実施する。

・必ず管理者、責任者の書面などによる了解をとると同時に、管理者・責任者・役員などを含む複数名にて確認する。

・保管映像の取り扱いに関しても社内規定を作成する。

・あらかじめカメラにて撮されるる対象者に対し了解を得る。設置目的シールなど。

・プライバシーポリシーなどにも記載する。

目的と設置場所に最適な防犯カメラの設置

防犯カメラの最適な設置場所は、何を監視したいのか目的と対象物によって異なります。

対象となる建物の構造や会社の状況によっても変わってきます。プライバシーを侵害しないということも重要です。

社内での確認が難しい場合は防犯のプロに相談し、設置場所や管理方法などを見てもらうと良いでしょう。

遠隔監視する場合には、その映像の情報漏洩がしないように配慮することも必要

最近は防犯カメラの映像をその場にいなくても外出先などで遠隔監視することが多くなってきました。

ここで問題なのは、防犯カメラの映像（個人情報保護法の対象）が関係者以外に閲覧されてしまう可能性があるということです。

●　カメラやレコーダーのIDパスワードが初期設定のまま使用されている。

●　カメラやレコーダーのIDパスワードが同じであるため、退社した元従業員が閲覧できる。

●　遠隔監視のためのアプリが脆弱で、第三者が見ることができる。

こうしたことに配慮しているのが、セキュリティハウスの遠隔監視システムi-NEXTです。
高いセキュリティ性で特許取得済み。

映像の情報漏洩を許しません。