「原因は飲酒だけではない?潜在的原因とは」ミツイワセキュリティニュース
USB紛失事故の背景
2022年6月に某市で個人情報を含むUSBメモリを紛失したと公表がありました。紛失したUSBメモリには全市民の住民基本台帳の情報等が含まれていたため、大きな話題となりました。ネットワークが引かれていないコールセンターに個人情報の入ったUSBを持ち込み作業を実施、完了後に関係者で飲酒し、USBを持った関係者が泥酔しUSB含め鞄を紛失した、という内容が事故の簡単な経緯です。ちなみにですが、2日後に鞄は無事発見され、USBの情報は漏えいしていないと言われています。
上記の通り飲酒が事故の大きな原因ですが、実はそれ以外にも潜在的原因があるのです。今回はその潜在的要因についてご紹介をいたします。
潜在的原因
前項で述べた潜在的要因ですが、実は複数あります。しかも、鞄を紛失した人だけに原因があるというわけではないのです。原因について、市と作業責任者、作業者(鞄を紛失した人物)の3つの観点から考えていきます。
☆市
☆作業責任者
☆作業者
- 個人情報の持ち出しルールは作業実施企業任せになっていた
- 個人情報のデータを持ち出するには許可が必要であることを周知徹底していなかった
☆作業責任者
- 作業完了後USBのデータ消去を行う運用だったが、作業者に消去するよう指示を出していなかった
- USBによるデータ持ち出しを黙認していた
☆作業者
- 市の許可を得ずにUSBメモリを持ち出していた
- 持ち出す際に市の事前許可が必要なことを認識していなかった
- 作業完了後にUSBのデータを消去しなかった
対策案
次に対策案について触れたいと思います。ここで挙げる対策案はあくまで一例であり、それ以外にも対策方法はあります。資産管理
資産管理を行うことで、企業のネットワーク内に許可されていないPCの不正接続や私物USBの不正使用を検知することができ、それにより不正なデータの持ち出しを防ぐことができます。
社員教育
セキュリティ教育を実施することで、従業員のセキュリティ意識やセキュリティリテラシー、セキュリティポリシーの認知度向上を図れます。それによりセキュリティ事故の抑止や、事故が発生した場合の被害拡大を最小限に抑えることができます。
持ち出しルールの策定
ISO27001にも記載されているように、情報の持ち出しをする際は事前に許可を得る、資産台帳への記載を行うというルールを策定することをお勧めします。
強度の高い暗号化
電子政府推奨暗号リストに掲載されている技術を用いた暗号化製品を導入することで、万が一ファイルデータが漏えいしても、ファイルを閲覧することができません。
Mitsuiwa Security Direction
セキュリティの運用サイクルを「Direction(計画)」「Deployment(対策実行)」「Management(運用)」の3段階に分け、方針策定~導入、運用に至るまで、お客様の業務内容に則したセキュリティの「あるべき姿(=Direction)」をワンストップでご提供いたします。
それによりお客様独自の有効的なセキュリティ環境を構築することができます。
詳細は弊社担当者までお問い合せください。
▼サービスの詳細はコチラ
https://www.mitsuiwa.co.jp/solution/security/mitsuiwa-security-direction/
