質問

2007年05月21日 16時19分
  • クライアントに保管されている個人情報の管理方法について

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

お世話になります。
Pマーク取得に向けての環境改善をおこなっております。
そこで問題となっているのが、営業部の人間(50名)が個別に
クライアントPC内に持っている個人情報ファイルの管理方法
となっております。

個人情報保管用サーバを立て、全てここに入れるよう規定には
記載したのですが、運用通りに保管されるとは思えません(現
にサーバ内にはあまりファイルが保管されておりません)
教育で個人情報が漏洩した場合のリスクなども説明している
のですが、社内では「漏洩しなければ問題ない」という空気
が強いです。

できればシステム的に管理できればと思うのですが、何か
良い方法はありますでしょうか?
漠然とした内容で申し訳ありませんが、よろしくお願いいたします。

3件の回答があります

回答

Pマーク取得に向けて奮闘されてるとお聞きし、私もお客様のPマーク取得支援で常駐しております。

 システム的にとおっしゃったので、Pマークに直接関係しないかもしれませんが、ツールをご紹介したいと思います。
マイクロソフトの「Shared Computer Toolkit Windows XP」等検討してみるのも手かもしれません。(フリーソフト)
 学校やパブリック向けに使う方が効果あるかもしれませんが、面白い機能があります。

一例として。
・ファイル操作を、実際には本ソフトが別途確保した領域に記録し、再起動時に記録内容を破棄する。
※要は、クライアントPCにファイルを残すと消去するから、サーバーに残すようにさせる!クライアントPCの制限を設けさせる。データがクライアントPCに残させないので、情報漏洩にも役立ちます。

・特定のユーザーに対し、使用可能なソフトを制限したり、指定した時間が経過すると強制的にログオフさせることが可能な「ユーザー制限」

その他、色々と細かに設定できます。管理面は勉強する必要があります。それでも、検討してみたら如何でしょうか?ソフトもフリーですし、Pマーク取得には色々とコストがかかります。

実は、昨年私のお客様「学習塾」で導入した経緯もあるので、情報としてください。

2007年05月21日 16時47分

回答

普通に考えると、「すべてシンクライアントにしてしまう」と言うのが1つの回答かなぁとは思います。構築のための費用、問題点などに関しては、過去に質問が有りましたので、「シンクライアント」で検索してみてください。

もうひとつの方向性としては、「クライアントPCのHDDを暗号化してしまう」という方向性も有ると思います。「SafeBoot」を筆頭にいくつかの製品が有りますので、そちらも参考にされてみてください。

また、先週開催されていた「第4回 情報セキュリティEXPO」の出展企業の中に参考になりそうな製品があるかもしれませんので、そちらの情報も紹介しておきます。

なお、どのような手段の場合でも、「ファイルサーバーの容量増加(買い換え)」の方が安価になる可能性もありますので、そちらも含めて対応策を検討される事をお薦めしておきます。

※最近は、SAS+SATA のようなHDD構成が取れるサーバーもあるようですので、高速化が必要なストレージと、速度よりも容量を稼ぎたいストレージを組み合わせる事が可能なようです。

※参考までに、「第9回 データストレージ EXPO」で見かけた「Infortrend(インフォトレンド)社RAID製品」を紹介しておきます。こちらであれば、既存のファイルサーバーに追加して容量だけを増やす事が可能なはずです。

2007年05月22日 01時35分

回答

システム上の事より啓蒙の方が重要だとおもいます。

可能なら、役員会議のような上の役職の方が集まる会議などで、参考URLのような資料を提示してみてはいかがでしょうか。

情報漏洩のニュースはこれほど溢れている。
それほど重要で身近な問題なんだということをアピールしてみるのをお勧めします。

あと記事をピックアップすれば、嫌でも漏洩源がP2P・ウィルスやワーム・個人PC盗難など、結局はデータを個人PCに入れている所から漏れてるという結果もでます。
(ほんとそればっかりで、映画のようなオンラインハッキングなどほとんど見つからない)

あとこれを見せると「うちはWinnyを入れさせてないからそれで大丈夫だろ」と確実に言ってくるはずなので、それ以外の要因(盗難など)の事例を大量に印刷し、大々的にアピールしましょう。
結局どうなんだと言われたら「情報を個人PCに入れていること自体が問題なんだ」と結論づけるようにしましょう。

社内報のような全員通達をやるとスルーされるので、役員会のような一部から噂のような形で広げて、最終的に全体の興味を引くような形をとるのがいいとおもいます。

もう一歩踏み込むと、どうしても自宅PCでの作業を言われると思うので、いっそリモートデスクトップを導入する手法を考えた方がいいかもしれません。

2007年05月22日 09時49分

あなたもコメントしましょう!