先日、帰社会でセキュリティリスクの注意喚起の発表を行いました。
エンジニアという業種である以上、セキュリティリスクへの関心は常に持っておくべき、ということで、
弊社でもそのような事故が発生しないよう、定期的に社内への注意換気を行っています。
今回は最近大きな話題になった「尼崎市のUSB紛失問題」を取り上げましたので、その内容をブログにも記載しようと思います。
※本記事はセキュリティリスクへの注意喚起を目的に作成されております。
本記事に登場する団体、個人、その他すべてを貶める意図はありませんので、ご承知おきください。
2022年6月22日、兵庫県尼崎市の全市民約46万人の個人情報が入ったUSBメモリーを紛失したことが発覚しました。
前日の夜、所持者は個人情報の入ったUSBを持ったまま、大阪府吹田市の居酒屋で開かれた飲み会に参加し泥酔。翌朝目覚めたらUSBメモリーが入ったカバンがなくなっていました。
かばんは2022年6月24日居酒屋から少し離れた吹田市のマンションの敷地内で見つかり、USBは無事発見されました。
そもそもなぜUSBに個人情報が保存されていたのでしょうか。
元々は新型コロナウイルス対策で非課税世帯などに支給される「臨時特別給付金」の業務に関連して発生したようです。
ただし、データをUSBにコピーしてから紛失に至るまでには、下記の様な問題点がありました。
問題が発生したことを受けて記者会見が開かれましたが、その発言内容でもセキュリティリスクを上げてしまうことがありました。
USBにはパスワードをかけていたことが説明されたのですが、
尼崎市のUSB紛失問題の経緯
2022年6月22日、兵庫県尼崎市の全市民約46万人の個人情報が入ったUSBメモリーを紛失したことが発覚しました。
前日の夜、所持者は個人情報の入ったUSBを持ったまま、大阪府吹田市の居酒屋で開かれた飲み会に参加し泥酔。翌朝目覚めたらUSBメモリーが入ったカバンがなくなっていました。
かばんは2022年6月24日居酒屋から少し離れた吹田市のマンションの敷地内で見つかり、USBは無事発見されました。
問題が発生してしまった原因. USBの取り扱い
そもそもなぜUSBに個人情報が保存されていたのでしょうか。
元々は新型コロナウイルス対策で非課税世帯などに支給される「臨時特別給付金」の業務に関連して発生したようです。
ただし、データをUSBにコピーしてから紛失に至るまでには、下記の様な問題点がありました。
- データ処理の許可は得ていたものの、そもそもUSBメモリに入れて個人情報データを運搬する許可は得ていなかった。
- 個人情報を記録したUSBメモリを個人で事業所外に持ち出した。
- データ移管作業後、速やかにデータを消去しなかった。
- データを保管したUSBメモリを所持したまま、飲食店に立ち寄り飲酒をした。
- USBメモリが入ったカバンを紛失した。
問題と思われる点. 会見での発言内容
問題が発生したことを受けて記者会見が開かれましたが、その発言内容でもセキュリティリスクを上げてしまうことがありました。
USBにはパスワードをかけていたことが説明されたのですが、
- パスワードは英語と数字をまぜてある。
- 長さは13文字
- 定期的にパスワードを変更している。
- 意味のある内容となっており、紙にメモしておくようなことはない。(故に紙の紛失による漏洩リスクはない)
本件から学べる対策
では本件のような事態はどのようなことに気を付けていれば起こらなかったのでしょうか。 個人としては下記の様な対策が取れると思います。- USBなどへのデータコピーは事前に許可をもらう。
- 作業終了後は速やかにコピーしたデータを消去する。
- 社外秘情報や個人情報などの重要情報は、現場やオフィスから持ち出さない。
- テレワーク等で持ち出す場合は、速やかに移動することを心掛ける。飲酒等は避けるようにする。電車の網棚などに荷物を置かないようにする。(紛失リスクを下げる)
- 家等で利用する場合も、家族や来訪者へ流出しないよう対策を講じる。(パソコンは鍵付きの部屋で管理するなど)
