今回は、少し会社的なネタです。
インサイトテクノロジーでは、PISOというデータベース監査ツールを自社で企画・開発し、販売しています。PISOは、データベースに対して、いつ、誰が、どこから、何をしたのか?を記録してくれる製品です。いわゆるデータベースセキュリティという分野に分類されるものでデータベース監査製品で10年以上連続日本国内シェアNo.1になっています。このセキュリティという分野は、実は売上が安定しませんでした。セキュリティ分野への投資は、利益を生むものでなく守りで損害が発生しないように行います。従って、優先順位がどうしても下がります。しかし、優先順位が一気が上がることがあります。そう「セキュリティ事故」。数年に一度、データが流出したことが大きなニュースとなり、優先順位が一気に上昇します。そして、ほとぼりが冷めると元通りに・・・
PISOの売上は、データ流出事故の報道に影響されて数年に一度大きくなるということを繰り返して来ました。でも、データ流出は、今でも1000件以上のデータ流出事故が2件/週は、コンスタントに発生しているんですがね。
最近、国内で約8600万人が利用するLINEでも情報流出が問題になりました。LINEは、自治体の情報発信や各種手続きなどでも利用されている社会インフラとも言えます。一方、以下で挙げたようなデータセキュリティに関わる法律が、次々と成立して特に個人情報を取り扱う事業者に色々な義務を課しています。
- 改正個人情報保護法の完全施行(2022年春より施行)
- 改正法では、事業者が守るべき責務の在り方が規定されています。
- 漏えい等報告及び本人通知の義務化
- 不適正な利用の禁止
- 改正法では、事業者が守るべき責務の在り方が規定されています。
- PCI DSS(Payment Card Industry Data Security Standard)
- 経産省がカード会社に対して2018年3月までに準拠するように働きかけ
- クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティ基準
- 定められた12の要件に以下が規定されている
ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
- EU一般データ保護規則(GDPR)(2018年5月にEUで施行)
- 個人データ保護やその取り扱いについて詳細に定められたEU域内の各国に適用される法令
- GDPRに準拠したデータ管理が行われていないとEU圏内での取引が停止される可能性がある
- 違反検知機能の強化
- 匿名処理の標準化
などなど、個人情報を取り扱う事業者は、これらの法律を遵守する必要がありますがまだまだ対応しきれていないのが現状だと思います。
しかし、クラウド時代を迎え、我々の個人情報が適正に管理されないと情報社会では、色々と不利益を被ることが益々多くなるのは間違いありません。事件・事故が発生してから対応するのではなく転ばぬ先の杖としてシステム設計時からこのあたりの機能は、入れて欲しいですね。
P.S. PISOは、AWSのDBaaS(RDS,Auroraなど)にも対応しました!是非お試しください。
