ニュースでも騒がれているのでご存知の方も多いと思いますが、兵庫県尼崎市で46万人分の個人情報が入ったUSBメモリの紛失する事件がありました。
結果として、後日USBメモリは発見され流出は確認できないとなっているので、不幸中の幸いとしてそのうちに沈静化すると思いますが、セキュリティ対策の観点から見ると教科書に出てくる位に学ぶべきところが多いと思います。
今回は、そんな事例からセキュリティ対策について、考えておきたいと思っております。
USB紛失の概要
まず事件の概要についてみていきますが、今回、尼崎市より委託を受けていたBIPROGY株式会社より、経緯などが公開されていますので、こちらをベースにしていきます。
BIPROGY株式会社 プレスリリース
「住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリの紛失について」
細かく見ていくと様々な問題が浮き彫りになりますが、今回はセキュリティに関連するポイントに絞ってみます。
<事故前>
- BIPROGY社から再委託、再委託先から再々委託されている
- 個人情報をUSBメモリに格納して運搬している
- データの持ち出し/運搬方法が承認されていない
- 運搬は通常のカバンで行われている
- 作業後にUSBメモリ内のデータが削除されていない
- 作業後の手順書がなく/消去指示及び確認がない
- USBメモリを持ったまま飲みに行っている
<事故後>
- カバンの紛失から報告までに時間がかかっている
- 暗号化処理は行っているが記者会見でパスワードを類推できるコメント
こんなところでしょうか。わかりやすく事故前と事故後の対応で整理してみました。BIPROGY社の報告からポイントを整理すると「ルールや手順の整備」「周知や確認の徹底」になるかと思いますし、再発防止策でも「管理体制」「運用」「教育」に努めるとなっています。
セキュリティ自己が起きた後で、振返ってあれこれというのは簡単ですが、実際は事故が起きる前に対策をする必要がありますので、事前にできるセキュリティ対策を見ていきます。
事例から見るセキュリティ対策は?
では、どのように対策をしていけばいいのか?を考えていきます。大きくは「技術的な観点」と「人財的な観点」とがあると思います。
「技術的な観点」で事例を見ると、個人情報をUSBメモリで運ばなくてもいいようにできていれば、少なくとも運搬中でも紛失はなくなります。また「人財的な観点」では、作業の管理を徹底する、返却までを作業とするとしていれば、違った結果になっていたかもしれません。
交通事故もセキュリティ事故もそうですが、お酒を飲めば注意力や判断力が下がることは一般的です。これで事故を起こしてしまっては、言い訳のしようがありません。
セキュリティ対策はどこまでやっても完璧といえるものはありません。しかも技術の進歩に合わせて、対策や考え方も変化しています。どこまでお金や手間をかければいいか悩ましいところですが、私はそこまでお金をかけなくても出来るところから始めていくことをお勧めしています。
例えば、ソフトウェアは最新で使う、ウィルス対策ソフトで定期的にスキャンする、パスワードは複雑で使いまわさない、従業員の教育を実施するなど、当たり前のことを当たり前に行うことが大事だと思います。
今回の事例でも、データを使ったら消す、お酒を飲みにいかない、USBは首からかけておくなどを徹底しただけでも、紛失するリスクは下がっています。
少し分量がありますが、IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」もあるので、参考にしてみて下さい。
最後に
ITが普及することによって、セキュリティ事故による経営へのインパクトはますます大きくなっていくのだと考えています。事故が起こると説明責任もあり、どういった対策をしていたのか?も問われることになります。
最低限の部分は、自社で対応が出来ることがあると思いますが、技術の進歩が速い業界を自社ですべて対応するのは現実的ではないため、一定のレベル以上では有識者に力を借りて対応していくことが望ましいと考えています。
弊社では、セキュリティ対策に関するご相談も承っていますので、お気軽にスタッフまでお問合せ下さい。
弊社のサービス紹介
それではまた
アンドファン株式会社
中小企業診断士 田代博之