タイで個人情報保護法が施行されてから丸2年。官公庁や大手企業では法律に基づく「データ保護担当者」を設置し厳格な運用に努めているが、必ずしもすべての企業や団体で同様の対応が為されているとは限らない。その原因の大きな一つに、今なお広がらない情報保護に対する意識と不正からの誘惑がある。社内にある個人情報や業務情報を無断で持ち出して転売するのは日常茶飯事。フリーWi-Fiのアクセスポイントを装ってID番号やカード番号を盗み出すという手口もある。こうした中、タイ国内で販売が始まった日本製ソフトウエアに注目が集まっている。どんな点に関心が向けられているのか取材した。
引き合い増えるMylogStar
「このところタイにある金融業や製造業の会社などから多くの問い合わせをいただいています。当社製品のタイ販売開始は2年前。必ずしも個人情報保護法のスタートに合わせたわけではないのですが、かなりの追い風となっているのは事実です」
こう語るのは、ソフトウエア開発「株式会社ラネクシー」(東京・新宿)のタイ法人「Runexy (Thailand) Co.,Ltd.」でManaging Directorを務める示村賢一氏。同社が開発した不正アクセス・情報漏洩防止ソフトの「MylogStar(マイログスター)」は、コンピュータネットワークに接続された機器類のさまざまなログ(操作履歴)を記録。通常使用と異なる履歴が見つかると、管理者に通知が届くという機能を持っている。
日本市場では、2007年にバージョン1.0を発売開始。これまでに1万社以上の会社が導入したという実績を持つ。23年現在、バージョンは4 R4にアップグレードされている。
パソコン(PC)単体をピンポイント監視する「MylogStar Desktop」と、サーバーを丸ごと対象とする「MylogStar FileServer」、クラウド全体の監視を行う「MylogStar Cloud」の3製品が用意されている。顧客は社内ネットワークにありように応じて選択することができる。
アラートで異常を通報
運用は至って簡単だ。例えば、社内のサーバーやクラウド内にある顧客情報や業務情報といった莫大なデータファイル。これらを自身のパソコンなどに大量コピーしようとすると、たちまちのうちにアラート(警告)が鳴らされマネージャーの元へ。
ならば、こっそり印刷して紙媒体で持ち出そうとしても、何のファイルが何枚印刷されたかプリンターのログが瞬時に記録され、不正が容易に明るみとなる仕組みだ。もちろん、誰がいつアクセスしたかユーザーのログも残る。スクリーンショットのログも記録されるため、画像化もできない。データの持ち出しはもはや不可能に近い。
それだけではない。ファイルの書き換えやファイル名の変更にも目を光らし、迷惑行為や嫌がらせなどから会社の資産を守る機能も合わせ持つ。パソコンのオン・オフ、さらにはワードやエクセルといったアプリケーションの起動時間も自動的に記録されるから出退勤管理にも活用が可能だ。
さらに、従業員が就業時間中にどんなウェッブサイトやYouTubeを閲覧していたかというデータも保存され、勤務評定にも転用できるという多機能ぶりだ。勤務中に中堅社員が転職サイトを頻繁に閲覧していたことが分かった企業では、「今やめられたら困る」と慌ててケアに乗り出すなど副次的な活用法も広がっている。
在宅勤務も監視
コロナ禍で広がった在宅勤務では、〝出勤時〟にパソコンの電源だけを入れて、後は夕方まで外出や買い物などという不届き者が少なくなかった。こうした時は、自動で記録されるマウスやキーボードの作動履歴が役に立つ。
マウスの左右クリックの回数や、何センチ移動したかなどの詳細なデータが保存されることから、それらをたどればパソコンの前に座っていなかったことは一目瞭然となる。キーボードの使用も少なければ、作成したレポートは業務時間中に作っていなかったことも判別しようというわけだ。
一方、「MylogStarの導入によって、作業効率がアップされたというケースも報告されている」と示村MD。「アプリの起動ログが記録されるので、成果物としての報告書の内容に比してアプリの作動時間が適正だったかといった点が可視化されるようになった」と解説する。
結果、勤務時間中は集中して業務に向かうという空気が職場内で醸成され、効率化とスピードアップ化が進んだのだという。ともすれば上からの押し付けといった〝監視〟に止まらない、前向きな使用も促進されたというわけだ。
セキュリティー強化の新アプリ「RunDX」
ラネクシー社にはもう一つ、2024年9月に新規発売した「RunDX」というアプリケーションがある。データの流出に加え、外部からの不正アクセスを一切許さないのが特徴だ。MylogStarと組み合わせて使用することで、社内のセキュリティー体制はより強化される。日本では銀行業界を中心にすでに50万ライセンスが契約済だ。
具体的な仕組みはこうだ。例えば、デバイス制御。社内のパソコン端末からデータを入手しようとする時、よく使われるのがUSBメモリやSDカードなどの外部記憶装置。RunDXを通じて事前に設定しておけば、指定されたデバイス以外は認識しないように制御が可能。結果、ファイルコピーなどの操作ができない構造となっている。
それだけではない。スマートフォンやタブレット、デジタルカメラなどに搭載されているWi-FiやBluetooth(近距離無線通信規格)といった通信機能を悪用したファイルへの不正アクセスも防止ができる。事前に可とするものだけを登録しておくことで、それ以外の端末では通信ができないよう設定するというわけだ。
実際に報告されている手口では、スマホやタブレットを充電しているように見せかけてパソコンにケーブル接続。まんまとデータを盗み出したケースがあったという。だが、RunDXを使えばそんな懸念は杞憂に終わる。データ通信を遮断することで情報の流出が防げる。
外部からのサイバー攻撃にも対応する。特定のIPアドレス以外は接続をシャットアウト。データにアクセスできる端末を限定する。一方で、パソコンを外に持ち出して行うテレワーク活動の安全も保証する。社外では出張先や自宅などあらかじめ登録しておいたWi-Fi以外に接続ができないよう設定。情報の流出を防止する。
その際、フリーWi-Fiのアクセスポイントは絶対に使用してはならない。かつてあったケースでは、パソコンが悪意のあるフリーのアクセスポイントに自動で選択。PC内にあった業務情報や打ち込んだクレジットカード番号などの個人情報が洩れてしまったことがあったという。
タイの情報保護法制
タイの個人情報保護法が成立したのは2019年。当初は20年5月に施行される予定だった。ところが折からのコロナ禍で延期に。22年6月1日に2年遅れのキックオフとなった。タイではそれまで個人情報を保護する包括的な法的枠組みは存在していなかった。このため損害が発生したとしても民商法典の不法行為を元に訴えるしかなく、泣き寝入りが少なくなかった。
法の施行により、故意・過失に関わらず適正な取り扱いをしなかった情報管理者らは民事上の責任として実損額の2倍までの懲罰的損害賠償責任を負うこととなった。また、刑事罰として最高で1年以下の懲役もしくは100万バーツ(約450万円)以下の罰金。さらに最高で500万バーツの過料を科す行政罰も付加された。
保護法の施行に合わせて、企業や団体では今、急ピッチで個人情報保護の体制構築が進められている。国民に対する啓発活動も続けられている。司法当局も仕組みが整うまでは、悪意あるケースを除いては摘発には抑制的だ。日本などとは異なり、法律の施行後もしばらくは事実上の準備期間が存在するのがタイ社会の特性でもある。
こうした実情を背景に、ラネクシー社製品のMylogStarやRunDXは積極的な営業活動を展開していないにも関わらず、連日引き合いが絶えないという。示村MDも「タイ法人はソフトウエアの開発拠点として開設されたので、営業職が実はまだ私しかいないのです」と明かす。嬉しい〝誤算〟を足掛かりに、近隣諸国への進出も目指す。