忘年会シーズンに気を付けること──尼崎USBメモリ紛失事案の報告書から学ぶ(3/3 ページ)
忘年会シーズンになり飲み会の機会が増えているが、情報機器の扱いには注意が必要だ。尼崎市USB紛失事案の二の舞にならないよう、同件の報告書を見て振り返る。
ルールはあったのに守られなかった
当日の様子を見れば「コロナ禍になるまではよくあったなぁそんな流れ」と思った人も多いのではないだろうか。仕事終わりに飲みに誘われるという一連の流れはとても自然に見える。
ただし、その中でいかに情報セキュリティ対策意識をもって適切に情報管理ができるかが明暗を大きく分ける。一歩間違った結果が尼崎事案だ。
調査報告書によると、本件の直接の原因は、A氏がUSBメモリを持ったまま泥酔したこととしている。その上で、BIPROGYにおいてコンプライアンス意識の欠如による情報セキュリティ上のルール逸脱が横行していたこと、未承認の再委託といった契約違反が常態化していたことなども問題点として挙げている。
BIPROGYはCISO(最高情報セキュリティ責任者)を設置しており、情報セキュリティ上のルールやガイドラインも定められていた。その中には「情報資産を保持している間は飲酒など著しく注意力・責任感を書いた行動をとってはならない」との記述もあった。
尼崎市との契約の中でも、USBメモリで情報を持ち運ぶ際には、承認を受けた上で鍵付き金属ケースに入れるよう規定されていた。
ルールはあったのに守られなかったことが、大規模インシデントにつながった。
本件においては「USBメモリの管理状況を確認していなかった」「USBメモリを適切な方法で保管・移送しなかった」「USBメモリ内のデータを適切に削除しなかった」「USBメモリを持ったまま泥酔した」と、USBメモリに関する部分だけでもこれだけの問題があったことが分かっている。
忘年会シーズンもそうだが、年末年始の帰省や旅行も始まるこの時期。上記のうち一つでも思い当たる節があるなら、尼崎事案を教訓に再度、情報管理の見直しをしてみてはいかがだろうか。
当然だが、USBメモリだけ気を付けているだけでいいわけではない。長期休暇前後の情報セキュリティ対策については、情報処理推進機構の「長期休暇における情報セキュリティ対策」などの資料も見ながら対策を考えて実行することが重要だ。管理者や役員などはルールについて周知徹底を図るなどの対策実施が、尼崎の二の舞にならないためには必要になるだろう。
関連記事
- 尼崎市でまた紛失 今度はスマホ 気付いて4日間報告せず 「職場にあると勘違い」
尼崎市は、同市の職員が個人情報入りの公用スマートフォンを紛失したと発表した。スマホには市民の電話番号2件やLINEの連絡先50件程度、講座やイベントの写真・動画複数件入っていたという。13日時点でスマホはまだ見つかっていない。 - BIPROGY役員が報酬を自主返納 尼崎USBメモリ紛失で
兵庫県尼崎市で発生した個人情報入りUSBメモリの紛失事案を巡り、BIPROGYが、社長をはじめ3人の役員が報酬を自主返納すると発表した。 - USBメモリ紛失の尼崎市、無断で再委託のBIPROGYに損害賠償請求 「市のイメージダウンにつながった」
6月に発生した尼崎市全市民46万人分の個人情報入りUSBメモリの紛失を巡って、尼崎市はBIPROGY(ビプロジー、旧社名元日本ユニシス)に対し損害賠償請求を行うと発表した。尼崎市のイメージダウンにつながったことなどが理由。 - 尼崎事件に見る情報漏えい対策の“いろはのい” 増えている流出ルートは?
尼崎市のUSBメモリ紛失事件で、情報漏えいに再度注目が集まっている今、改めて情報漏えいが起きるルートをおさらいしておこう。情報漏えいには、電子機器の紛失、うっかりミス、退職者によるもの、不正アクセスなどさまざまなルートがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.