USBメモリに入った一般市民の個人情報が紛失し、世間に流出してしまうという危機にさらされたことを記憶している方も多いかもしれません。
本記事では、この事件を通して、情報漏洩対策の重要性を再度確認していきましょう。
まずは、あらためてUSBメモリ紛失事件についての概要と問題点を整理します。
2022年6月に、兵庫県尼崎市で全尼崎市民約46万人分の個人情報の入ったUSBメモリが紛失する、という事件が発生しました。
尼崎市から業務委託を受けた、大手情報システム企業「BIPROGY株式会社(旧日本ユニシス株式会社)」の再々委託先の男性社員が、泥酔してUSBメモリの入ったカバンを紛失した、というものでした。
結果的に、三日後にカバンは無事発見され、USBメモリ内のデータも不正使用された形跡はなく、情報漏洩もなかったのは不幸中の幸いといえるでしょう。
この事件では、以下のような多くの問題点が明らかになりました。
• 機密情報の管理がずさんだった
• USBメモリの取り扱いルールが不明確だった
• 業務委託契約の違反があった(無断で再委託や再々委託を行う、など)
• 尼崎市職員の危機意識が欠如していた(記者会見でパスワード桁数を公開する、など)
他にも問題点は多くありますが、全体を通して、尼崎市職員、BIPROGY社員、協力会社、該当の男性社員など、関係者すべてのセキュリティレベルが低かったということが、一番の問題だったかもしれません。
このUSBメモリの紛失により、46万人分の個人情報が流出するという危機が生じました。
個人情報のなかには氏名や住所だけでなく、納税に関する情報や、生活保護の世帯や児童手当受給世帯の口座情報も含まれていました。
これらの情報が悪用されれば、住民のプライバシーや金銭的な被害が発生する可能性もあり、情報漏洩はなかったとはいえ、この事態を引き起こした尼崎市やBIPROGYの責任は非常に重いといえるでしょう。
多くの問題点が明らかになったこの事件において、ここでは情報セキュリティ関連に限定して問題点を整理しましょう。
本事件において、職員や社員のセキュリティ意識が欠如していたことは明らかです。セキュリティ意識が低いと、多くの弊害を引き起こします。
職員が記者会見の場でパスワードの桁数をオープンにしてしまったことも、セキュリティ意識の低さが原因でしょう。
また、脆弱なままのパスワードを気にせず使い続けたり、同じパスワードを複数のアカウントで使いまわしたり、といったこともあるかもしれません。機密情報を取り扱っているという高いセキュリティ意識があれば、重要なデータを気軽にUSBメモリにコピーして、外部に持ち出すことはしないはずです。
機密情報の取り扱い規則を整備したうえで、職員や社員に対して情報セキュリティに関する教育やトレーニングを徹底する必要があります。情報の重要性を再認識させ、適切な取り扱いを行えるようにすることが、なにより重要です。
USBメモリは便利なデータ搬送のためのツールですが、その管理が不十分であったことも問題です。
USBメモリやハードディスクといったリムーバブルメディアの使用や持ち出しにも、厳密にルールを設けなければなりません。場合によっては、使用禁止にすることも必要でしょう。
もし使用を許可する場合でも、必ず暗号化を行い、ツールでの管理を徹底するなど、適切な対応策を講じる必要があります。
機密情報に対しては、誰がいつ何の処理を行ったのか、ツールやソフトウェアで厳密にアクセス履歴を管理しなければなりません。アクセス制御を厳格に行い、権限のない者が情報に容易にアクセスできないようにする必要があります。
USBメモリに入れてパスワードをかけても、それだけで安心することはできません。桁数がわかれば、簡単にパスワードを推測することができてしまいます。
重要なデータには、パスワードやアクセス権を正しく設定し、厳密な運用をしなければなりません。
2022年6月に発生した事件のあと、2022年11月に尼崎市が、翌12月にBIPROGY社が、それぞれ調査報告書を公表しました。
尼崎市とBIPROGYは事件後、それぞれ第三者委員会を設置したうえで、調査を行い報告書を公表しました。
両者の報告書には、お互いの立場からとらえた状況や原因、再発防止策などの詳細が記載されています。
この事件は個人の不注意による紛失が直接の原因ではありましたが、根本には、尼崎市職員やBIPROGY社員も含めた関係者全員がセキュリティリスクを軽視していた、ということは間違いないでしょう。
参考:尼崎市「個人情報を含むUSBメモリーの紛失事案について」
2023年6月になって、尼崎市はBIPROGYに対して約2,950万円の損害賠償を請求し、全額入金されたとのことです。
調査にかかった経費や職員の勤務手当、事務経費がその内訳とのこと。2022年6月に事件が発生して、約1年でほぼ解決した、ということになります。
事件は損害賠償を支払い完結しましたが、この事件を通して、我々は何を学ぶべきなのでしょうか。同じことを自分たちが引き起こすことのないよう、情報漏洩対策をしっかり整理しておきましょう。
USBメモリは便利な道具で、ネットワークが繋がっていないPC同士で簡単にデータのコピーができます。ただ、簡単にコピーできるということは、簡単に漏洩する危険性があるということでもあります。
業務でのUSBメモリの使用は、できるだけ制限するべきでしょう。少なくとも、個人情報や機密情報を保管することは禁止にするべきです。
代わりに、セキュアなクラウドストレージやサーバーを活用し、厳密なアクセス権設定によるデータの管理と保護を行うようにしましょう。
データを転送する場合には、必ずデータの暗号化やパスワード設定を厳密に行うようにします。
また、PC内の個人情報や機密情報を自動検出し、強制的に暗号化することで、データ保護を行うツールを活用することを検討してもいいでしょう。
万が一、データが紛失したり第三者の手に渡った場合でも、情報を解読できないようさまざまな対策を講じておくべきです。
従業員に対してセキュリティリスクについての啓発活動を行い、情報の取り扱いについて注意喚起することが重要です。
セキュリティポリシーやガイドラインを策定し、定期的な従業員教育を徹底することで、全員の情報セキュリティ意識を高めていく必要があります。
USBメモリや外付けハードディスクといったデバイスを使用せざるを得ないときは、デバイスを直接制御できるツールや、情報漏洩を防ぐDLP(Data Loss Prevention)ツールを導入することも検討しましょう。
USBメモリの接続を検知して、アクセス制御を行ったり、自動で読み取り専用としたりすることで、ファイル持ち出しを防ぐことができます。
また、DLPを使うと、特定の機密情報の持ち出しやUSBへのコピーなどを自動検知し、ブロックすることも可能となります。
尼崎市USBメモリ紛失事件は、情報漏洩の重大性を浮き彫りにした事件でした
