W3Navi サイトナビゲーション



    これまでの記事
AccessとExcelの話
バイラルマーケティング
データベースのセキュリティ(1)
迷惑メール対策(その2)
迷惑メール対策(その1)
緊急連絡網のメール利用
個人情報漏洩とデータベース
個人情報保護法
単純で分かりやすいことの大切さ
比較検討に勝つためのポイント
良い顧客を見分ける
問い合わせやクレームへの対応
商品を早く届けること
顧客情報の集め方
データベースの役割
データベースに情報を蓄積する
データの分析
データの活用
フォームの活用
Eメールの活用
SPAMメール
オプトインメール
パーソナライズとは
顧客タイプの分類
カタログは紙媒体の方が便利
価格設定
サイバー広告
代金の決済
顧客情報の管理
検索エンジンへの登録
メールマガジンの発行
ホームページの構成を考える
懸賞サイトの利用
新聞雑誌に記事を書いてもらう
掲示板に投稿する
アフィリエイト・プログラム
アンケートの実施
既存の顧客から紹介してもらう
アクセス向上総集編
個人情報保護法
 
管理・運営について
当サイトの管理・運営は
ニュースビット株式会社がおこなっています。

関連サイト
業務効率化の助っ人
Access・Excel・Bitシリーズ有効活用
 
 
Accessを使用したデータベースの
専門サイト
 
 
受注メールをローカルで一元管理
 
 

顧客情報の管理

個人情報保護法について騒がれていますが、このところ情報が流出する事件(事故)が多発しています。
先月だけでも、エステティックTBCのWebサイトにて、顧客データ3万人分が流出し、YKKグループ関連のYKKアーキテクチュラルプロダクツのサイトで、同社のアンケートに回答した約45,000件の個人情報が流出したことが判明しました。
海外でも米国海軍の海軍高官およびホワイトハウス高官のメールアドレスと電話番号が管理されているサーバーのデータベースが攻撃され、機密情報があるサイトに掲載されるという事件が起きました。


これ以前にも昨年の後半で、次のようなものがあります。
2001年11月、法務省のメールサービス登録者に対しメールを誤配信し、個々の登録者に他の複数の登録者のメールアドレスが漏洩した。
2001年10月、国内線航空券販売サイトの「国内線ドットコム」は、メールサービスで登録者のメールアドレスが約2,990人分流出した。
2001年10月、NTTドコモ埼玉支店では、メールニュース「彩の国 DoCoMo 便り」で、本文の代わりに8人分のメールアドレスが誤配信された。
同じく2001年10月、明治乳業で発行しているメールニュース「VAAM&コルディア通信」で、読者約1万人分のメールアドレスが本文の代わりに誤配信された。
2001年7月、ソニーミュージックグループの化粧品メーカー株式会社ソニーシーピーラボラトリーズのサイトで、モニターおよびプレゼントに応募した顧客約1万人分の個人情報が流出した。


こうした中で、顧客情報をどのように管理していくべきなのかを検討してみましょう。


情報流出の原因について

前記した流出事件はほんの一例ですが、流出事故の発生する状況はいくつかに分類することができます。


1.サーバーのデータベースを攻撃される


これは、インターネットに接続されたサーバーにあるデータベースをクラッカーが攻撃し、データベースのデータを持ち出すもので、高度な技術による場合もありますが、単純にデータベース自体のセキュリティーの脆弱性をついてくる場合もあります。
たとえば、2002年5月22日にマイクロソフトのホームページに「SQL Serverを標的としたSQLSPIDAワームに関する情報」が公開されていますが、これはインターネットに接続されているSQL Serverにブランク (空白) のパスワードを用いてログインしようとするものです(詳しくは、マイクロソフトのホームページをご覧ください)。
パスワードを設定することで防ぐことができるようですが、逆を言えば設定しないとブランク (空白) のパスワードを用いてサーバーに進入することができるということであり、設定していないサーバーは、事実上無防備であるため特別な技術がなくてもクラッキングされてしまう可能性があるのです。
こうした、データベースのセキュリティ上の脆弱性は、マイクロソフトに限ったことだけでなく、程度の差こそあれオラクル等でもホームページで公開されています。
つまり、データベースには何らかのセキュリティ上の脆弱性がある可能性があり、クラッカーによりその部分を攻撃される可能性はあるということなのです。


2.メール配信システムの誤操作


最近は少なくなりましたが、同じ内容のメールを何人かに送信する際にCC(カーボンコピー)を使用する場合があります。送信先のメールアドレスが全ての受信者に公開されてしまいますので、個人間で友人同士のメールなら問題ないかも知れませんが、その他の用途では絶対に使用しないことが肝心です。
先の法務省のメールを誤配信では、既に終了していたメールサービスであったにも関わらず、外部の業者が法務省のシステムの脆弱性調査を実施しようとしてファイルにアクセスしメールが誤配信されたとのことで、メール配信システムが悪いのかその業者が悪いのかは不明ですが、単純ミスでメールが誤配信されるようなシステムに問題があることは間違いないと思われます。
また、法務省のメールサーバーは、メールの不正中継を受け付けてしまうというお粗末なものだったらしく、そうした基本的な設定すらできない低レベルな技術者が公的機関に出入りしていること自体に不安と恐怖を感じざるを得ません。
メールは、便利な情報発信ツールであると同時に情報の漏洩やウイルスの感染媒体にもなりますので、メール配信は、単純な誤操作でメールアドレスが本文になってしまうようなシステムは使用すべきではないです。


3.社員などによる情報の持ち出し


インターネット経由でのアクセスに対してシステムのセキュリティを高めても社内の人間によるデータの持ち出しは防ぐことはできません。
まず、大切なのはパスワードの管理です。
ディスプレイにパスワードを書いた紙が張ってある企業をいまだに多く見かけますが、これなどは絶対に避けなくてはなりません。
また、せっかくWindowsXP/2000/NT4.0等のネットワーク用のOSを使っていながら、アドミニストレーターというシステムの全てをコントロールできる権限で、それもパスワードをブランク(空白)で使用しているという恐ろしい状況もよくあります。


それと、社員が退社した場合なども注意が必要です。
会社の入り口の鍵を回収しない会社はないと思いますが、社員がやめてもパスワードを削除せずにそのままという状態も見かけます。
こうした状況だと退職した人間が外部からサーバーにアクセスできてしまうことも充分に考えられるので、サーバーの脆弱性などを幾ら強化しても何の意味もありません。
社員が社内の情報を持ち出さないようにモラルを高めることは当然ですが、システム管理の面からは、仮に悪意をもって持ち出そうとしてもそう簡単には持ち出せないようにすることが大切なのです。


4.単純ミス


Webサーバーの基本的な知識がない人がホームページを管理する場合に思わぬ事故を引き起こすことがあります。
たとえば、Webサーバーの外部からアクセスできるディレクトリにindex.htmlというファイルを置いておかない場合、ディレクトリの中が丸見えになる場合があります。
それを防ぐためには、index.htmlというファイルを各ディレクトリに置くことです。


このファイルを置かないと中のファイル一覧が表示されてしまうのです。
表示されたファイルの中に****.datや*****.txtなどのファイルがある場合などブラウザーのアドレスに直接ファイル名を入力することでファイルの中身も表示されてしまいます。
それだけではありません。
最近の検索エンジンはロボット型でWebサイトを勝手に巡回して検索対象に登録してしまいますが、適切な方法でロボットの巡回対象から除外しておかないとデータファイルが検索エンジンに登録され誰でも見ることができる状態になることもあるのです。
最近では、ホームページ作成ツールがあるので誰でも簡単にホームページを作成することができるようになりましたが、最低限の知識が無いと思わぬトラブルを引き起こすことにもなるので注意が必要です。


データベースの取り扱い

Webサイトでアンケートや資料請求、お問い合わせなどで個人の情報を入手することは企業の営業上必要なことだと思います。
しかし、同時に集めた情報を第三者が勝手に持ち出したり、利用したりできないようにしっかりと管理する義務が企業側には発生するのです。
集めた顧客情報は、分析したり活用するため通常何らかの形でデータベース化することになりますが、そのデータベースをインターネット経由で外部から接続できるサーバーに管理する必要があるかないかは検討する必要があります。
インターネットに接続できる環境に置く限り、顧客情報がクラッカーに持ち去られる可能性はないとはいえません。一方、インターネットに接続していなければ、クラッカーによって持ち出される可能性はなくなるからです。


サーバーに情報を管理しなくても目的に機能が実現できるのであれば、それに越したことはないのです。情報の管理体制を強化したとしても、米国海軍でさえクラッカーに攻撃されれば情報を持ち出されてしまうのです。
日本の通常の民間企業レベルで完全に情報を守ることができる体制を構築することは非常に難しく、万一、情報が流出したリスクを考えるとどちらが良いかは説明するまでもありません。


メール配信システム

何千人何万人の顧客へ低コストでスピーディに情報を発信できるという点でメールは非常に優れています。
しかし、ちょっとした操作ミスで本文にメールアドレスが記載されてそのメールが大量に送信されてしまうようでは非常に危険です。
どちらかといえば、メール配信システムは、1時間に何通メールを配信できるかという配信スピードの面が選択の基準になっている面があります。配信スピードも大切ですが、誤操作した場合のトラブルの程度も判断材料とする必要があるということです。
それともう一つ肝心なことは、データベースをサーバーに置く必要があるかということです。サーバーにデータベースがないと使えないシステムでは、前記したリスクがあるのです。
配信件数とそれに見合った出来るだけリスクの少ないシステムを、選択する必要があるです。


まとめ

説明するまでもなく顧客情報の管理は、非常に重要です。
今回は触れませんしたが、万一、会社が倒産したり売却される場合の顧客情報の取り扱いはデリケートな部分も多く、情報を収集する段階からきちんと顧客に対して管理方法、利用方法などを明確にしておく必要があるのです。
また、自社にサーバーがある場合は別として、そうでない場合、実質的に顧客情報を自らの管理下に置かないことになるわけですから、そのアウトソーシング先が倒産するような場合やその会社の社員がデータを持ち出す危険も想定する必要があります。
特にサーバーの管理者権限があれば、メールはもちろんデータベースの内容など全ての情報にアクセスできますので、アウトソーシング先のデータ管理体制は非常に大切になります。
つまり、顧客情報を管理する為には「データベースはインターネットに接続しない」、「外部に管理を委託しない」、「社内でも利用できる人間を限定する」と言う最も安全性の高い方法、つまり、穴が塞がった状態から、必要に応じて最低限の大きさの穴を空ける方法を取ることが肝心なのです。

 


新たな記事が追加されたり更新された場合などメールにてご案内させていただきますので、是非下記よりご登録ください。
 メールアドレスの登録はこちらから







Copyright©2010 Newsbit co.,ltd.All Rights Reserved.