情報漏洩対策として、サーバーやクライアントのログを取っています。という話を良く聞きます。確かに、内部統制報告書には、ログを記録し管理することが項目に入っています。ログが必要な項目であることは間違いありません。
しかし、本当に、ログを取るだけで情報漏洩は防げるのでしょうか？

ログ記録の意味

ログ記録は、監視の仕組みです。いつ誰が何にどうアクセスしたかを記録します。例えば、本来必要のない情報を興味本位で、あるいは、故意に取得しようとした人が場合、ログ記録されていることを知らされていたら、疑われるようなことは止めとこうかなと、抑制効果が働きます。

この抑止効果は、ログ記録していることを公表しないと効果はありません。しかし、監視されていることを知らされるのは、信用されていないといわれているようなもので、あまり心地いいものではありませんね。
知識のある人であれば、ちょっと気が引けることをするときには、記録が誤魔化されるように回避行動を取ることもあります。

また、この方法は、業務上必要ないことについては、抑止効果は働きますが、仕事を持ち帰るためにUSBメモリにファイルをコピーするとか、取引先に持っていくなどの、通常の業務については、何の抑止効果もありません。

実際発生した個人状漏洩事故/事件での有効性

では、次に、実際に発生してした個人情報漏洩事故で、どれだけ有効か、見てみましょう。2007年の個人漏洩事故／事件報道のなかで、意味のある流出事故を多い順にあげると、次の項目でした。(弊社調査）

1. Winny流出
2. PC盗難
3. ウェブサイトで間違って公開
4. USB紛失
5. パソコン紛失
6. 不正アクセス
7. USB盗難

この中で、ログ記録だけで防げるものがどれだけあるでしょうか？実は、不正アクセス以外には、ほとんど効果はないのです。つまり、ログ記録だけでは、個人情報漏洩をわずかしか防げないことがわかります。

情報漏洩したらどうする？

ログ記録には、抑止効果しかありません。後で原因が誰かを突き止めることが精一杯で、Winnyで拡散してしまったファイルを止めるすべなどないのです。過失で情報流出させてしまった従業員に全ての責任を取らせて、企業が責任逃れできると思いますか？情報漏洩対策で必要なのは、監視よりも、未然に防止する仕組みです。

では、どういう情報漏洩対策を取ればよいのか？

ネットワークセキュリティーなど、管理者がとるべき対策をとった上で、一般従業員については、あまり意識しなくても、漏洩防止できる対策をとるのが確実です。お勧めの対策は、データを自動的に暗号化し、暗号化したままで表示編集を可能とする、情報漏洩対策ソフト「WebDoc」（ウェブドック）を代表としたデータ保護システムです。これが適用できれば、一般従業員が原因で発生する情報漏洩のほとんどをカバーできます。