九電子会社が紛失した記憶媒体、暗号化やパスワード保護なしと判明 施錠も徹底されず
九州電力送配電が最大1090万件分の顧客情報を保存した外部記憶媒体の紛失問題で、保存していたデータには暗号化もパスワード保護も施していなかったことが分かった。
九州電力傘下の九州電力送配電(福岡市中央区)が最大1090万口分(電力供給契約の件数)の顧客情報を保存した外部記憶媒体を紛失した問題で、保存していたデータには暗号化・パスワード保護のどちらも施していなかったことが九州電力への取材で分かった。報道によると、紛失した記憶媒体は外部SSDとみられる。
九州電力によると、暗号化やパスワード保護を施していなかった理由について、「サーバ室は多重の入退室管理が行われており、限られた人しか立ち入れないため、セキュリティは担保されているとの認識だった」と説明した。「当該データはサーバから直接抽出した文字列のデータであり、データの仕様などが分からないと読み解くのは難しい」とも回答している。
また保管方法については、外部記憶媒体を鍵付きキャビネットで保管する運用を始める際、九州電力送配電の社員と委託先社員が現場で口頭合意していたとしている。ただ、「キャビネットの施錠まで明確に指示できていなかった」という。
社内ルールでは、業務・データの重要度に応じて対策を施す必要があるとしており、今回のケースについては「多重の入退室管理が施されているサーバ室内に保管することで、持ち出し・盗難を防ぐ対策は妥当と判断していた」と説明。ただ、今回の事態を受け、管理方法を見直す方針だ。
最終所在確認の4月27日から所在不明が判明した5月26日までの間に、サーバ室に入退室した人物は57人。全員が委託先の社員で、九州電力送配電の社員は含まれていない。委託先は10社にわたるという。
誤廃棄の可能性についても質問したところ、関係箇所の捜索や関係者への聞き取りに加え、誤って廃棄された可能性も調査したが、現時点では発見に至っていないと回答した。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「サーバ室にあるはずの記憶媒体が行方不明」 九電子会社 最大1090万件分の顧客情報を保存 キャビネット施錠せず
九州電力送配電は6月8日、最大1090万口分の顧客情報を保存した外部記憶媒体が、社内サーバ室のキャビネットから所在不明になっていると発表した。現時点で契約者情報の流出は確認されていないとしている。
患者1365人分の個人情報漏えいか 看護師が私物PCに情報保存→サポート詐欺被害に 藤田医科大学病院
藤田医科大学病院は6月3日、看護師の個人PCがサポート詐欺の被害に遭い、患者1365人分の個人情報が外部に漏えいした可能性があると発表した。看護師は院内規程に反し、患者情報を個人PCに保存していたという。
Key新作「anemoi」マスターデータ流出、個人情報も漏えいか ビジュアルアーツに不正アクセス 取引先のマイナンバーも
「anemoi」のマスターデータが、発売前の4月19日に海外サイトで無断公開されたことがきっかけで調査したところ、個人情報も漏えいしていた可能性が判明した。
阿波銀行の情報漏えい、被害のテスト環境は「本来廃止すべきだった」 システム高度化作業でも利用
阿波銀行が6月3日、4月公表の顧客情報漏えいの調査結果を発表した。不正アクセスを受けたテスト環境は本来廃止すべきだったが、AIを使ったシステム高度化作業などに転用していたと判明。同行は管理態勢の不備を認め、頭取ら役員を処分した。
「JCB社員がインスタに社内資料を載せている」Xで画像拡散 同社「事実関係を調査中」
「JCB社員が社員証や他社の社内資料と思しき写真をInstagramに投稿している」──5月29日、Xでこんな投稿が拡散した。添付のスクリーンショットには、同社やその関連会社のものと思しきシステム構成図や個人情報の取り扱いをまとめた資料が。