業務の国外委託、個人情報は安全か?(2) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

業務の国外委託、個人情報は安全か?(2)

特集 特集

●様々な個人情報が危ない?

 契約に関する懸念が最初に取り上げられたのは今年の春。職員組合が業務を委託することで、愛国法の下、米国企業は米政府に個人情報を開示する可能性があるというのだ。組合の発表では、外注により危険に晒されるBC州民の個人情報は次のものだ。

・氏名
・生年月日
・家族構成
・住所、電話番号
・犯罪暦
・雇用暦
・収入
・破産があったかなどの財務情報
・移民、難民であるかなど

 他にも健康保険業務が外注となるため、レントゲン写真、手術記録、かかりつけ医の情報をはじめとする、様々な医療記録もある。

 一方、州政府側は、契約の修正を行ったことにより、不正な開示はないようになっていると、安全性を強調する。修正内容は、

・不正開示があった場合は50万ドルの罰金を課す
・データ保管およびアクセスはカナダ国内のみで、変更があるとすればBC州政府が明確に合意を明らかにすることが必要
・Maximus BCの取締役は全てカナダ住民であること
・国外からのデータアクセスは不可能とすること
・カナダで勤務する米国民の従業員については、データアクセスを特に制限し、監督を行うこと
・データにアクセスする従業員は全て州政府との非開示契約書に署名すること
・従業員が不正を見つけたときに通知するシステムの設置
・従業員のウェブサイトアクセスおよび外部へのe-mail利用の制限
・データ転送ハードの使用制限
・個人情報開示の可能性がある場合は州政府はMaximus BC のオペレーション
を掌握することもある

などと非常に厳しいものであった。

 BC州保健サービス省のスポークスパーソン、リサ・ブリュースターは「承認なしで開示の恐れがある場合は、Maximusの業務を州の支配下に置くことができるということを契約に盛り込んだ」と、プライバシーの問題は最小限に留めたと主張する。

 また、注目すべきは、Maximusはシステム提供サービスの一環としてセキュリティサービスを提供していることだ。ファイアウォールの構築や侵入探知システムのようなハッカーに対する防護、スペシャリストによる24時間体制でのセキュリティモニターなどだ。今回の契約について、同社がどのようなセキュリティ・システムで運営していくか、Maximusおよび州政府に問い合わせたが、回答は得られていない。

 職員組合は8月6日に発表したファクトシートの中で「保護措置について両者間で話し合いがなされていない」「ファイアウォールは100%安全とはいえない」と危惧の念を示している。


【執筆:バンクーバー新報 西川桂子】

この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×