忘年会シーズンに気を付けること──尼崎USBメモリ紛失事案の報告書から学ぶ(1/3 ページ)
2022年も残り2週間。コロナ禍はまだ続いているが世は忘年会シーズンになり、金曜夜には職場の仲間と飲みに行く人もいるだろう。だが、そういうときこそ情報セキュリティには気を使わないといけない。飲み会でUSBメモリやPCをなくすなんてことがあれば、年末年始は対応でつぶれるかもしれない。
兵庫県尼崎市は、6月に起きた尼崎市の個人情報入りUSBメモリ紛失事案について、12月12日に調査報告書を公開した。本記事ではこの報告書から事件を振り返りながら、忘年会シーズンに注意すべき点を確認していく。
日頃からあふれていたコンプラ違反
まずは登場人物を整理しよう。尼崎市では臨時特別給付金を給付する上で、システム構築などをBIPROGYに委託していた。同社はシステム構築やデータ更新、メンテナンスなどの実務をアイフロント(東京都千代田区)とI社に再委託。さらに、アイフロントは業務をX社に再委託した。
USBメモリを紛失したのはX社のA氏。紛失当日にA氏とともに作業していたのがBIPROGY社のプロジェクトマネジャーB氏と営業担当者、I社従業員の3人だった。
舞台は尼崎市市政情報センターの3階。同フロアにはBIPROGY執務室とサーバルームがあった。サーバルームには給付金に関する情報を管理する通称「給付金サーバ」があり、BIPROGY従業員らは執務室で関連業務にあたっていた。
センター内のデータ移動にはUSBメモリを使っていたという。調査によると、サーバ内のデータを執務室内のノートPCに無断で移動し、システムの動作確認をした上、データを適切に削除しないなど、ここでも問題があったことが分かっている。
給付対象者の情報は給付金サーバで管理していたが、送金処理をするにはシステム上隔離された別の施設にデータを持ち運ぶ必要があった。尼崎市と執務室メンバーはこの移動のためにUSBメモリを購入。USBメモリは執務室で保管し、市の要請に応じて受け渡す決まりだった。
ここでも管理上の問題はあった。USBメモリにはパスワード設定があったが、保管していた引き出しには施錠しておらず、棚卸などで所在や存在を明確にする記録もしていなかった。管理者や所有者を後から確認することもできない。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。