尼崎市のUSBメモリ、スマホのGPS辿り発見 「漏えいしていない保証はない」とBIPROGY
BIPROGYは24日、兵庫県尼崎市の全市民46万人分の個人情報が入ったUSBメモリを紛失し、その後発見した件で記者会見を開き、発見時の状況や今後の対応を説明した。鞄には紛失したときと同じ状態で入っていたという。
BIPROGY(旧日本ユニシス)は6月24日、兵庫県尼崎市の全市民46万人分の個人情報が入ったUSBメモリを紛失し、その後発見した件で記者会見を開き、発見時の状況や今後の対応を説明した。同社によると発見者はUSBメモリを紛失した協力会社の社員本人で、スマートフォンの位置情報が決め手になったという。
発端は21日に実施し給付金コールセンター(大阪府吹田市)のデータ更新作業だった。当該社員は尼崎市にある市政情報センターから1人でUSBメモリにデータを格納して現地へ移動。BIPROGY社員2人と協力会社社員1人と合流し、4人でデータ更新作業を行った。
作業が終了したのは午後7時30分ごろ。その後4人は飲食店へ行き、店を出たのは午後10時30分ごろだった。このときは鞄を所持していたことを確認している。
しかし22日の午前3時ごろ、当該社員は路上で目を覚まし、鞄を紛失していることに気付く。朝になってから会社に休むと連絡し、1人で捜索に行くも見つからず吹田警察署に紛失届を提出した。午後2時、BIPROGYに鞄を紛失したと連絡して事件が発覚する。
BIPROGYはUSBメモリ紛失までの経緯にセキュリティ上の問題が4つあったと話す。1つは個人情報を持ち出す際、顧客である尼崎市に運搬方法などの説明が不十分だったこと。市側は手順を正確に把握していなかった。「本来、われわれは直接データには触らない。どうしても触らなければならないときは(顧客に)同席を求めるはずが、曖昧なまま進めてしまった」という。
2つめは個人がUSBメモリで機密情報を運んだこと。BIPROGYのセキュリティポリシーでは原則としてUSBメモリのような可搬メディアは使用しない。仮に必要になった場合でも複数人で運び、最後まで管理する決まりになっていた。USBメモリも「機能的には一般的な製品だった」。
3つめは本来なら作業後にデータを消去するはずが実行していないこと。作業に同席したBIPROGYの社員も消去の指示と確認を怠った。
最後にUSBメモリを指定の保管場所に戻さず、データが入ったまま飲食店へ行ったこと。「社員や協力企業に(セキュリティ)意識の欠如があったと言わざるを得ない。しっかり振り返り、対策しなければならない」とし、1)顧客の機密情報を扱う管理者を明確にする、2)セキュリティポリシーに照らし再点検を行う、3)データの持ち出し運搬ルールを徹底するなどの対策を挙げた。
発見の決め手はスマートフォンの位置情報
USBメモリを発見したのは紛失した本人だった。BIPROGYに連絡があったのは24日の午前11時40分ごろで、警察と一緒にスマートフォンの位置情報を追い、吹田市内のマンション敷地内で見つけたという。
当人は状況確認などのために警察署へ同行したためBIPROGYも詳細は確認できていないが、2本あったUSBメモリ(1本は予備)は当人が鞄にしまったときと同じ状態で発見され、パスワードは変わっていなかった。中のデータと暗号化の状態もそのまま。しかし当人は紛失時の記憶が曖昧で、自分でそこに置いたのか分からないという。
BIPROGYは「誰かが鞄を動かした可能性も否定できない。情報が漏えいしていない保証はない」として、個人情報が売買されるダークウェブなどのモニタリングを継続する考え。「企業として責任を痛感している。(現場で)セルフチェック、クロスチェックが抜けていたのが一番大きな原因。今後は協力会社を含む全ての組織にプロセスを再度周知する啓発活動を行う」としている。
関連記事
- 尼崎市、全市民の個人情報入りUSBを発見 メモリ内のデータの調査へ
兵庫県尼崎市全市民46万人分の個人情報が入ったUSBメモリを紛失した件について、同市は6月24日、該当のUSBメモリを発見したと発表した。委託先のBIPROGYからの連絡により発見されたことが分かったという。 - 尼崎市、全市民46万人分の個人情報入りUSB紛失 委託先関係社員が飲食店でなくしたか
臨時特別給付金の支給事務にあたっていた委託先関係社員が、全市民46万人分の個人情報が入ったUSBメモリを紛失したとして兵庫県尼崎市が謝罪した。USBメモリにはパスワードと暗号化をかけており、情報の漏えいは確認されていないとしている。 - USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露 ネット騒然 「悪例として最高の手本」
市民46万人分の個人情報が入ったUSBメモリを紛失した尼崎市の記者会見が波紋を呼んでいる。USBメモリに設定されたパスワードの桁数を職員が話してしまったからだ。ネットでは「セキュリティの悪例として最高の手本」など批判が続出している。 - 尼崎市USBメモリ紛失事件でBIPROGYが謝罪 株価は一時100円近く下落
兵庫県尼崎市で発生した個人情報入りUSBメモリの紛失事件について、同市から業務委託を受けていたBIPROGYが「お預かりした大切な情報を紛失した」として謝罪した。 - 「日本ユニシスがビプロジーに社名変更していた」尼崎USB事件で話題 34年続いた名称、今年変えた理由
兵庫県尼崎市で起きた、市民の個人情報入りUSBメモリ紛失事件。市の委託業者BIPROGY(ビプロジー)は、日本ユニシスが4月に社名変更した企業だ。34年続いたブランドを変えた理由は?
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.