株好き父さんのための

Take IT Easy!

セキュリティ・ガイドライン花盛り(2005年06月23日)

今週の情報漏洩、栄えあるチャンピオンは... ♪ジャガジャガジャーン

米国クレジット会社のカード4000万枚情報流出 に決まりました

今週のチャンピオンどころか、年間チャンピオンもほぼ決まり。

なんて言ってる場合ではなく、日本にもカード不正使用の被害が出ています。大変だ。
大変だって何が大変かというと、この事件を対岸の火事とは見なせない日本の銀行業界、証券業界、信販業界、カード業界 などの個人情報をたっぷり持っている業界のセキュリティ対応です。

4000万枚分のクレジットカードのデータを流出させてしまった米国のカードシステムズ・ソリューションズ社は、米国カード業界のセキュリティー業界基準の適合認定を受けていたにもかかわらず、実はその基準を遵守していなかったようです。ウイルス対策を十分に実施していなかったばっかりに、トロイの木馬型の不正プログラムに感染し、昨年9月から今年6月まで延々と情報を流出し続けていたのです。

日本の金融業界にもそういうセキュリティ基準があるのかというと、あるんですね、これが。

金融庁が、金融分野における個人情報保護について といういわゆる「金融庁ガイドライン」 というものを出しています。興味のある方は読んで見てください。憲法みたいなものですね。文章も憲法みたいです。だから読む人によっていろいろと解釈できちゃうわけで、銀行業界はこれを受け、その解釈版として
全国銀行協会(通称:全銀協)個人情報の保護と利用に関する自主ルール といういわゆる「全銀協ガイドライン」を出しています。これは、憲法に基づいた銀行業界の法律ですね。

憲法と法律では、具体的にどうすりゃいんだかわからないので、FISC(金融情報システムセンター) というところが、金融のシステムの安全対策基準を設備的対策、運用的対策、技術的対策の具体的な実施方法などをまとめた 「FISC安全対策基準・解説書(FISCガイドライン)」 というものを出しています。こちらは、ホームページで公開されていませんが、一般価格¥40,000で購入することは出来ます。FISCは、FISCのホームページで紹介されている言葉を借りると、「昭和59年11月、当時の大蔵省の許可を得て、金融機関、保険会社、証券会社、コンピュータメーカー、情報処理会社等の出捐によって設立された財団で、金融機関等における金融情報システムの活用や安全性確保等に関する諸問題について調査・研究を行うとともに、必要に応じて指針の提示及び提言を行っている機関」ということになります。FISCは、第三者機関ですが、金融庁が監査の基準としてFISCのガイドラインを使用しますので、事実上の強制力を持ちます。基本的には、銀行、証券会社は、このFISCの出すガイドラインに従わなければなりません。

では信販会社やカード会社はというと、信販会社、カード会社の監督官庁は金融庁ではなく、経済産業省なんですね、これが。なんでですかね。それぞれ譲れない縄張りなんでしょうか。なので、信販会社、カード会社は、金融庁ガイドラインFISCガイドラインではなく、経済産業省の出すセキュリティのガイドラインに対応しなければならないことになります。

経済産業省個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン というものを作っていて、信販会社、カード会社にとっては、こちらがセキュリティ基準になります。

銀行も証券も信販もカードもお金を扱うことには同じなのに、ややこしいですよね。
それぞれ、セキュリティ基準が異なるとはいえ、セキュリティ対策は避けては通れなくなっている状況です。米国のこんな大規模な情報漏洩事件が起きたら、金融庁の監査が厳しくなるのは目に見えています。

とはいえ、セキュリティ対策には金がかかります。安全性とコストは相反するもので、そのバランスをどう取るかです。金融庁の監査に通るための最低限のセキュリティ対策をするのか、それとも金融業としてあるべきセキュリティ対策を徹底するのか という企業の姿勢が問われるところです。セキュリティへの投資は、その投資が売上げや利益に直接結び使いないため、渋くなりがちです。

先日、飲んで帰る電車の中で、網棚に乗せた鞄を紛失してしまった人がいました。鞄の中には銀行のキャッシュカード、クレジットカード、そして、一緒になくした手帳にはご丁寧に、それらのパスワードがメモされていたそうです。当人は、あわてて各銀行やクレジット会社に電話したそうですが、会社によってカードを停止できるタイミングがまちまちだったそうです。直後に停止できた会社、停止までに数時間かかってしまった会社、そして翌日にならないと停止できない会社。最近はお金の引き出しも24時間できますから、翌日にならないと停止できないカードからはまんまとお金が引き出されてしまったそうです。

このように表に表れない緊急時のサービスの優劣も比較して、銀行を選び、カードを作らないといけませんね。金融業界も他行、他社より優れた安全対策、セキュリティ対策をもっと前面にアピールして顧客確保に役立てれば良いのです。そうすれば、セキュリティ対策に投資する価値や理由が明確になってきますよね。

今日はちょっと硬かったかな。

デンの今日のTake IT Easy:銀行、証券業界は、FISC という第三者機関のセキュリティ・ガイドラインに沿った安全対策を迫られています。
レイジーの今日のおとぼけ:私にも守らなければいけない食事基準があります。間食しない、偏食しない、そして、おかわりしない 非満3原則です。