2011.02.03
情報漏えい後、何が起こる?油断できないデータの紛失
『USBメモリを紛失してしまったが、情報漏えいした形跡は見当たらない。』
このような状況になったとき、「これは不幸中の幸いだった、安心した」
と思っても大丈夫なのでしょうか?
そうとは限らないのが、情報漏えい事故の怖いところです。
下記の事件は昨年、実際に発生したものです。
事故が起こった後、どのようなことが起こる可能性があるのか、
対策として何ができるのかを考えていただきたいと思います。
---------------------------------------------------------------------------------------
○事件の概要
事件の発端となる情報漏えい事故は、数年前にある公立小学校で発生しました。
教諭が、自分の筆箱の中にUSBメモリを入れていました。
そして、その筆箱を教室の中に置いたまま、教室外の授業を行うために、
児童と共に教室を空けました。
ところが、授業終了後、教室に戻ったところ、筆箱が見当たりません。
USBメモリの中には、教諭が当時担任していた児童・保護者の氏名、
住所、電話番号、兄弟姉妹の情報などの個人情報が保存されていました。
紛失発生後、学校全体で探したが、見つかりませんでした。
しばらくの間は、情報が漏えいしている形跡はなかったそうです。
しかし、紛失から数年後、USBメモリの中身の書類が印刷された状態で、
学校や近隣の民家などに複数回にわたってばらまかれているのが
見つかりました。
-------------------------------------------------------------------------------------
○事故についてのコメント
情報漏えいが発生した場合、長い時間が経った後でも
何が起きるかわからない、という一つの例です。
電子データは、紙媒体と比べて、保存、複製が容易です。
紛失後、しばらくの間様子をみてみて、外部に漏えいした
形跡がないと思っても、安心とは限りません。
今回の事件の場合、紛失の原因や、
紛失後にばらまかれるまでの数年間の間どのようなことがあったかは、
まだわかっていないようですが、
わざわざ印刷してばらまかれている、ということは、
悪意を持った人が関わっていることが推測されます。
もちろん、悪意を持った人がいなければ、問題は起きないのかも
しれませんが、残念ながら、そういう人はいるものです。
ですから、情報が外部に流出ことを防がなければなりません。
この事件もそうですが、最近の情報セキュリティ事故の傾向として、
USBメモリの紛失・盗難などによる漏えい多く見受けられます。
どのような対策が有効でしょうか。
そもそも、USBメモリの用途とは何なのでしょうか。
この部分について、間違った認識の方が多いように思います。
ご自分のUSBメモリの使い方について、
次の質問にあてはまるものを選んでください。
いくつあるでしょうか?
1.便利なので、必要な情報は基本的にUSBメモりに保存している。
2.USBメモリに個人情報などの機密情報を保存している。
3.念のために、自分が使う情報は、
全てUSBメモリでバックアップを取っている。
4.USBメモリに保存した情報は、容量がいっぱいになったら
不要なものを整理する。
1つでもあてはまるものがあれば、要注意です。
そもそも、USBメモリは情報を保存・保管しておくための媒体でなく、
情報を持ち運ぶために一時的に使うものなのです。
持ち運びに必要なデータだけを保存し、持ち運びが完了したデータは
USBメモリから削除するのが望ましいでしょう。
そうしておけば、万が一、情報が漏えいしたとしても、
漏えい数は少なくてすみます。
最近のUSBメモリは容量が多いので、自分でも気づかないうちに
つい、多くの情報を入れたままにしてしまいがちですが、
こまめに整理する癖をつけましょう。
もちろん、暗号化機能つきのUSBメモリを使う、
カギのかかる場所で持ち運ぶ、などの対策も必要です。
大溝氏
NPO 日本ネットワークセキュリティ協会幹事。社内の基幹・情報システムをBPRの手法で設計し、顧客のシステム開発にもプロジェクトリーダーとして多数経験がある。また、 情報セキュリティ監査・情報漏えい事故調査などの業務も行っている。