尼崎市のUSBメモリ紛失事件 “アンチパターン盛り合わせ”から学べること半径300メートルのIT

兵庫県尼崎市でUSBメモリ紛失のインシデントが発生し、大きな話題を集めました。インシデント自体も問題ですが、記者会見の場でパスワードの詳細が漏れてしまうなどセキュリティ管理の甘さが取り沙汰されています。ここからどのような教訓が得られるのでしょうか。

» 2022年06月28日 07時00分 公開
[宮田健ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 非常に悩ましいインシデントが発生しました。兵庫県尼崎市は2022年6月23日、全市民46万517人分の氏名や住所、生年月日を含む情報を格納したUSBメモリを紛失したと報告しました。

 翌24日には、カバンとともにUSBメモリが発見されたと報告がありひとまずは安心ですが、各種報道で大きく取り上げられたこのインシデントは、私たちがデータ保管の在り方を見つめ直すきっかけとなったのではないでしょうか。

尼崎市は個人情報を含むUSBメモリの紛失を報告した(出典:尼崎市のWebサイト)

データ保管の“アンチパターン盛り合わせ”から何を学ぶべきか?

 インシデントの経緯は、該当業務を委託されたBIPROGY(旧称日本ユニシス)の従業員が、データ移管作業のために必要なデータをUSBメモリに記録。その後USBメモリを入れたカバンを飲食店に立ち寄った際に紛失したというもので、本稿執筆時点では、以下の問題が発覚しています。

  • データ処理の許可は得ていたものの、そもそもUSBメモリに入れて個人情報データを運搬する許可は得ていなかった
  • 個人情報を記録したUSBメモリを個人で事業所外に持ち出した
  • データ移管作業後、速やかにデータを消去しなかった
  • データを保管したUSBメモリを所持したまま、飲食店に立ち寄り飲酒をした
  • USBメモリが入ったカバンを紛失した

 正にセキュリティ研修で挙がりがちな悪い事例を詰め合わせたケースといえます。一部報道では「正」「副」の2本のUSBメモリを同時に持ち歩いていたとされていたことや、禁止されていたはずの業務再委託が行われていたのが発覚するなど、全体的に“やったつもりのセキュリティ対策”が目立つ印象です。

 本件ではまず大前提として、無許可の情報持ち出しができてしまう状況にあったことに原因があることは間違いなく、この点に関しては多数の報道でも指摘があったと思います。

 しかし今回の事例は、上記に加えて「自分ごとにできるセキュリティ対策」においても学ぶことが多いインシデントでした。本稿はその「事後対応」に焦点を絞って考えていきましょう。

“出すべき情報”と“出すべきではない情報”の精査が求められている

 今回のインシデントでは各種報道でもある通り、記者会見の場で担当者が「パスワードの文字数」を明らかにしてしまったという点が非常に問題視されています。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ