■取るべき対策としてはどんなものが考えられますか。

 大前提として、情報が持ちだせるような仕組みのままにしてしまっていることが問題です。

 誤操作や管理ミス、紛失などによる情報漏えいは悪意がないものの、結果として情報が外部に流出するということに変わりはありません。

 これはシステムで十分カバーできる範疇です。当然リスクに関する啓蒙活動などの教育も重要ですが、十分に啓蒙した場合でもうっかりミスは発生してしまうもの。

 それをシステムで予防するという二重の策がまずは大切です。

 機密情報が格納されたシステムへID・パスワードによるアクセス制限を行っている企業もありますが、そもそも誰が付与するのか、どう付与するのかといった手順が周知徹底されておらず、具体的な運用にまで至っていないケースも見受けられるのが実態です。

 結局アクセス権限を厳重に管理しようとしても、現実的な運用が追いつかず、あやふやなまま放置されてしまっているのです。

 

■生体認証という選択肢は有効になってくるとお考えですか。

 本人しか持ちえない情報を使うという意味で、とても有効なものだと思われます。

 例えば、機密情報が故意に持ち出されて競合会社に使われてしまった場合、損害賠償請求を行うことになると思われますが、きちんと秘密として管理できていないと法律上訴えることができないのです。

 これは「秘密管理性」という考え方ですが、誰でも情報を持ちだせるような状態の管理では訴えることが難しくなります。

 この秘密管理性を担保するためには、限られた人しかその情報にアクセスできない環境を作っておくことが重要です。

 しかし、アクセスを制限するためにID・パスワードで制御を行っていても、それが許可された人間が使ったかどうかがわからなくなる可能性があり、厳密な意味での秘密管理とは言えない部分も出てきます。

 これでは、アクセス権者が制限されているという要件が満たせなくなる可能性は十分考えられます。

 それに比べ、生体認証であれば、本人しか持ち得ない情報でアクセス制御を実施することになり、アクセス権がきちんと制限されているということが裁判所としても理解しやすくなります。訴訟のリスクを含めても有効な策の1つだと考えられます。

 また、なりすましができない確実な本人認証と証跡管理(ログ管理)により、内部不正に対して髙い「抑止力」としても有効でしょう。