ノートPC紛失事件、暗号化しなかった顧客情報へのアクセスを追う：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

金融機関で顧客情報を保存したノートPCの紛失が発生した。無事、交番に届け出られたものの、紛失した本人は顧客情報に第三者がアクセスしたのか、とても気がかりだった……。

[萩原栄幸，ITmedia]

　千葉県に本社を置く金融機関から、一風変わった相談が寄せられた。職員がうっかりノートPCを置き忘れ、あやうく情報漏えいになりかけたという。ノートPCの置き忘れはよく聞かれるが、なぜ“一風変わった”事案なのかを紹介したい。

（編集部より：本稿で取り上げる内容は実際の事案を参考に、一部をデフォルメしています。）

事例

　金融機関の職員で筆者の友人でもあるA君がノートPCを置き忘れた。本人は気が動転してしまうほどの状況になり、「何とかしてくれ！」と筆者に相談してきた。その気迫があまりにすごい。「まずは状況を教えてくれ」と、A君に冷静になるよう諭した。

事案：金融機関の職員がノートPCを紛失した。情報漏えいの恐れがあるので、大至急助けてほしい。

　A君からの連絡は土曜日である。彼によれば、その前日はいつも通りに顧客を訪問し、それぞれ訪問先でノートPCに保存している提案資料を使って説明していた。ノートPCには、提案書のデータを顧客の名前で振り分けたフォルダに保存、管理していたという。規則ではこれらの情報機密ファイルを格納するフォルダに入れることになっていた。

　フォルダそのものが暗号化されており、そこにファイルや別のフォルダを格納するだけで暗号化される。フォルダにアクセスするには正当な権限を持つユーザーが操作するか、パスワードを入力するため、第三者がノートPCを入手しても、容易にはフォルダにアクセスできない。A君のあまりの焦りぶりに、筆者はまず落ち着くように諭した。

回答

　聞くところによると、A君が金曜日の最後の訪問先で仕事を終えたのは既に午後8時過ぎだった。そのまま帰宅するという安心感もあって、最後の顧客を訪問した後にその場で提案書の修正作業などを行った。その際に、データを暗号化フォルダから取り出している。作業を終えたA君は、「今日は帰宅して月曜日に処理すればいい」と安心してしまい、作業したデータを暗号化フォルダに保存せず、そのままPCの電源をオフにしたという。

　A君はそのまま直帰するつもりだったが、記念セールをしていた駅前の居酒屋の誘惑に負けて、お酒を飲んでしまったそうだ。ちょっとのつもりが深酒になり、近くの公園のベンチに横になった途端に寝てしまった。ベンチに座ったときにノートPCはあったというので、紛失したのはベンチで寝ている間ということになる。つまり、盗まれてしまったのだ。

　そこまで聞いて筆者は、彼のもとに急いだ。A君は公園や近くの交番、駅などを回ってノートPCを探した。「落としていたのかも……」と、居酒屋と公園の間を何度も探しながら往復したという。筆者も一緒に探したが、状況的には、どうみてもA君が爆睡している間に誰かが盗んだに違いない。結局、土曜日はノートPCを発見できず、翌日の日曜日に金融機関の支店長とA君の上長に連絡し、管轄の警察署や近くに住む職員にも応援を頼んだ。

　すると日曜日の夕方、A君の携帯電話に警察署から連絡が入った。届け出した内容と同じノートPCが警察署に届けられたということだった。