PCネットワークサポートブログ

先日、尼崎市にて市民約46万人の個人情報が入ったUSBメモリが一時紛失され、大問題となったことは皆さんの記憶にも新しいと思います。
情報セキュリティの観点からも、ツッコミどころしか無い事件でしたが、上から下まで情報セキュリティに関するリテラシーの低さが露呈し、関心を集めました。
ざっと問題点を洗い出すと以下の様になります。

1. 禁止されていた再委託先（実際は再々委託先）へ業務委託をしていた。しかも依頼元である市側は再委託の事実を知らなかった。
2. 禁止されていた個人情報が含まれるデータを無断でUSBメモリにコピーしていた。
3. 作業完了後、USBメモリ内のデータを消去していなかった。
4. 個人情報が含まれるデータが入ったUSBメモリを業務外で持ち歩いていた。
5. 個人情報が含まれるデータが入ったUSBメモリを所持した状態で飲酒、酩酊し（置き引きの被害者とは言え）、USBメモリを紛失していた。
6. USBメモリ紛失の謝罪会見の際、記者からの質問に対してパスワードのヒントを言ってしまった。

事後対応も含めて「情報セキュリティの教科書に悪い手本として載るレベル」と言われるほどです。
現時点で、「外部への情報漏洩は確認されていない」とのことですが、今までこのレベルでの管理を行っていたとなると、過去どこかの時点で情報が漏れていてもおかしくありません。（今回はファイルの暗号化をしていたとのことですが、仮にこれがパスワード保護のみとなると、条件によっては5分ほどで解除可能です。）

また、なぜデータのコピーでUSBメモリを使用しなければいけなかったのかということに関しては、ネットワークが引かれておらず、外部からデータ取得をする手段としてネットワークが利用できなかったとの事です。お手軽なUSBメモリに頼る様になったことは必然でしょう。
おそらく外部からの不正アクセス等を警戒しての事だと思いますが、逆に外部ネットワーク上でウィルス感染したUSBメモリが使用された場合、ウィルスデータベースの情報が古いセキュリティソフトで対応しきれない可能性もあります。（インターネット繋がっていないから安心！とセキュリティソフトをインストールしていない可能性も……無くはないです）
情報を扱う人全員のリテラシーが高ければクローズドネットワークは効果が高いのですが、そうでなければ、むしろセキュアなネットワークを構築して、ファイルアクセス管理システム等で管理し、USBメモリなどの外部メディアを制限するほうが安全性が高いかもしれません。

その他細々、上記以外にもツッコミどころ満載の本件ですが、この事件でセキュリティに対して少しでも関心が高まると良いなと思います。
因みに個人情報を漏洩してしまった場合、企業規模に関わらずに個人情報保護委員会へ報告しなければなりません。
このあたりのお話や、セキュリティに関する仕組みの見直し、また社員教育等をお考えの方は、一度ご相談ください。