海外における個人情報流出事件とその対応 第218回 内部関係者の犯行か? (2)対応に懸命なシェル
●対応に懸命なシェル
その後、シェルは漏えいの事実を認めている。データベースを受け取った組織に対して、英国のデータ保護法に基づき、データベースの削除を求めていると『The Times』は報じている。要求に応じない場合は法的手段を取るというものだ。
国際
海外情報
その後、シェルは漏えいの事実を認めている。データベースを受け取った組織に対して、英国のデータ保護法に基づき、データベースの削除を求めていると『The Times』は報じている。要求に応じない場合は法的手段を取るというものだ。
同時にシェルではセキュリティ部門が事件について内部捜査を開始した。「この問題に関してあらゆる法的要件に従う」との声明を出している。そして、これ以上の漏えいが起こらないように努めているという。
ただし、Donovanさんはブログで、「馬小屋の戸を閉めようとしているが、既に馬は逃げた後だ」という表現で、漏えいした情報を完全に取り戻すのは難しいとの姿勢だ。そして、特にナイジェリアで勤務している従業員について、「現在のラウンドのe-mailが終わると、他の情報も明らかになる可能性がある」として警笛を鳴らしている。漏えいの原因は今のところ謎だが、ハッキングによるものだと、犯人がどれだけの情報をつかんでいるかわからない。
英国ではデータプライバシーをはじめとする個人情報に関する権利を守るための機関、Information Commissioner's Office(ICO) が、2010年4月に新しい規則を施行することになっている。新しい規則では個人情報を適切に保護できなかった組織をICOは捜査することができる。シェルではICOに対して事件を通知した。そのため、ICOでは事件がどのようにして起こったのか調べていて、結果によってはシェルに対して罰金を課す可能性もあるという。
ただし、データ保護法では、現在のところ個人情報を保護できなかった場合の罰金は5,000ポンド、すなわち約71万円までと、非常に限られたものだ。金融機関については厳しく取り締まれていて、HSBCは320万ポンド(約4.5億円)の罰金を受けたことがある。しかし、4月に規則が改正されることで、ICOによる企業への罰金は50万ポンド(約7,100万円)まで跳ね上がる。
2007年10月から2008年10月までの一年間で、ICOが連絡を受けたデータセキュリティ事件は277件。多くはITに関するものだった。ICOでは一部の組織はデータを適切に管理しておらず、保護の原則に従っていないとの姿勢だ。
※本記事は有料購読会員に全文を配信しました
(バンクーバー新報 西川桂子)
《ScanNetSecurity》
