埼玉県の病院で、業務中に音声を生配信してしまった情報漏えいインシデントが発生しました。“うっかりミス”を防ぐために私たちにできることは何でしょうか。対策のヒントをお伝えします。
この記事は会員限定です。会員登録すると全てご覧いただけます。
悩ましいインシデントが発生しました。埼玉県鴻巣市のこうのす共生病院に勤める医師が、個人のスマートフォンで生配信したまま寝てしまい、その後配信がオンになったまま業務したことで、病院内の音声が約1時間半、外部に漏えいしました。漏えいした情報の中には、8人の患者の氏名(うち1人は生年月日含む)などの個人情報が含まれていたそうです。
同インシデントについてはすでに患者に説明されており、責任を感じた医師が依願退職するという落とし所になりました。報告を読む限り、医師が故意にインシデントを起こしたわけではないようです。是非はともかく、この出来事は非常に難しい問題を孕んでいると思いました。
果たして、皆さんの組織で同様の事象が発生した場合、既存の仕組みで防ぐことができるでしょうか。
まず、個人端末ではなく組織が用意した「社用端末」であれば、対策を講じることはそれなりに簡単です。MDM(Mobile Device Management)を利用し、組織が必要としているアプリのインストールを禁止したり、そもそもカメラを持たない端末を配布したりすることで、スマートフォン/電話に関連するリスクを下げられるでしょう。
しかし昨今、プライベートの端末を持たない従業員はほとんどいません。“私用端末を持ち込ませない”というルールを徹底できている一部の組織は別として、従業員がスマートフォンを職場に持ち込んでいる場合、そこには独自の通信回線と組織が関与していないアプリが多く入っているはずです。
その中には、今回のようにスマートフォンのカメラやセンサーなどを活用し、動画や音声を配信するものもあるでしょう。若者の間では自分の居場所を四六時中友人と共有するアプリも流行っています。データセンターなど、従業員がいる場所すらも企業秘密となる業務の場合、そういったアプリから発せられる情報もコントロールする必要が生じるでしょう。
テレワークが普及し、BYOD(Bring Your Own Device)前提で業務を進めている組織が多くなりました。業務に利用するとはいえ、私用端末の制御にどこまで組織が入り込めるかというのは難しい問題です。“私用端末にBYOD管理用のエージェントを導入してガチガチに固める”というわけにもいきませんから、今回のように私用端末に対しては“従業員にある程度委ねなければならない”のが実情です。
“端末のセキュリティは専門の担当者に任せればいい”という考え方は間違っており、全従業員がセキュリティ意識を持ち、ある程度は自己管理しなければならないことがある、と認識するのが重要です。デジタル機器をきっかけとしたうっかりミスが大きなインシデントにつながり、自分自身の人生に悪い影響を及ぼすのは、何としても避けてほしいと思っています。
スマートフォンの設定だけでは今回のようなインシデントを回避するのは困難かもしれませんが、筆者が考えた“うっかりミス”を防ぐヒントを幾つか紹介しましょう。完璧ではありませんが、不安の解消に役立てばと思います。
「iOS」を例に考えてみます。職場に着いたとき、私用端末も「職場に来たモード」に変えられれば、そこで何かしらのミスが発生していないかどうかをチェックするきっかけになるはずです。しかし、もちろん「職場に来たモード」なんていうものはiOSにも「Android」にもありません。そのモードになるのはあなた自身です。
方針はシンプルです。職場での意識を変えるため、着いたその瞬間にテキストを表示します。OS標準のリマインダーに、職場到着時にチェックすべきことを書いておきましょう。リマインダーは「場所」をトリガーに通知を送れるので、場所の設定を職場など、自分のモードを変えたいところに設定します。平日のみ繰り返しといった設定を組み合わせれば、職場の近くに着いたときにこのリマインダーがポップアップします。
これを利用すれば、職場モードに切り替えるだけでなく、自宅の位置をトリガーに「施錠を忘れない」といったリマインダーを設定したり、スーパーの近くで「買い物を忘れない」といった設定を適用したりできます。職場のルールで決まっているが忘れがちなことを、リマインダーを設定すれば防げるのではないでしょうか。ただ、こういった設定はしばらくすると慣れてしまうものです。この点をどう工夫するかは職場でも会話してみるといいかもしれません。
ちなみにAndroidの場合は、アプリを利用すれば位置情報からさらに細かな制御が可能です。「Tasker」を利用すれば、業務では利用不可のアプリが起動していたら自動で停止する設定も可能です。iOSでも標準の「ショートカット」を利用すると、さらにいろいろな制御ができると思います。しかしまずは、自分のセキュリティ意識を高めるためにも、ある程度「人」(自分)が明示的に行動することを目指してみてください。
“うっかりミス”がこの世からなくなることはありません。このコラムの読者の中にも、Web会議中にうっかりウトウトとしてしまい、それが部内に配信されるという経験をしたことがあるかもしれません。ただし、重要なのはデジタルツールではなく、それを活用しようとするあなた自身の意思です。その意思を補助する方法として、今回紹介したツールなどを活用してみてください。
Copyright © ITmedia, Inc. All Rights Reserved.