従業員 50 名のシステム開発会社。Web システム開発の他、データベースの開発やメンテナンス、改良等を業務とする。今後の業務に必要という理由で ISMS の取得を検討している。
データベースの改良等を行う際、現在のデータを顧客企業から預かることもあり、かなりの数の個人情報が各個人の PC やサーバ上に点在していることが予想される。
いくつかの PC について手作業で予備調査を行ったが、単純な個人情報の他に「ユーザ ID + アクセス履歴」のようなデータがあり、全てのファイルを把握するのは困難であると思われた。
社内ネットワークタイプで実施。従業員 PC の他、ファイルサーバ (80 GB) についても実施を行った。管理しているデータベースのユーザ ID をパターン化し、個人情報の他にユーザ ID についても探索を行った。
PC・サーバの双方に顧客企業から預かった個人情報ファイルが多数存在し、いつ情報漏洩事件がおきてもおかしくない状況にあったことが判明した。
終了したプロジェクトについてのデータの消去を徹底させたが、業務上全てのデータを一括管理するのは困難と判断、USB キーを利用した PC 暗号化ソフトの導入を決定した。
