またしても個人情報入りUSBメモリー紛失事故が発生

これまでも当サイトで警鐘を鳴らしている個人情報が記録されたUSBメモリー紛失事故がまた繰り返されました。我々情報セキュリティ担当者は真剣にUSBメモリー紛失事故対策を行うべきです。

USBメモリー紛失事故を防止する最低限必要な対策とは
個人が所有する情報をUSBメモリーに保管して持ち歩くのは自由ですが、所属する組織や会社で扱うあらゆる情報は一個人のものではなく、うっかり紛失したでは済まされません。企業や会社の情報を守るためにはUSBメモリー等の電記録媒体の徹底した管理ルールを定めることが必要です。ルール作りに悩む担当者さんのために、USBメモリーの管理ルールの例をご紹介します。
スポンサーリンク
スポンサーリンク

無断で私物USBメモリーに顧客情報をコピーして紛失

阪急阪神ホールディングスの子会社で、グループの郵便物の発送などを行う「あしすと阪急阪神」(大阪市)は5日、阪急電鉄や阪急カードのプレゼント当選者ら、9184人分の個人情報を保存したUSBメモリーを紛失したと発表した。あしすと阪急阪神によると、記録されていたのは、USB所有者の40代男性社員が2014年以降、郵便物の宛名ラベルを作成したデータで、グループ外2056人、グループ内7128人分の氏名や住所、電話番号など。男性社員は会社の業務用パソコンのデータを無断で私物のUSBに複写し、自宅で入力しやすいように加工するなどの作業をしていた。2日に紛失に気付き、警察に届けた。(時事通信2018/02/05-20:13)

記者発表資料

USBメモリー紛失事故はいつもいつも決まってこのパターンです。「ダメだと言っている事はしないだろう」という性善説に乗っ取った情報セキュリティ対策は一切通用しなくなっています。あなたの組織にも私の組織にも、モラルが低くリテラシーが低い社員、職員、従業員は必ずいます。

紛失ではなくUSBメモリーに顧客情報をコピーして名簿業者に売る事件もなくなることはありません。「何をやらかすか分からない連中が組織にいる」という性悪説に基づくセキュリティ対策を行わないと、いつか必ずあなたの組織でも同じような個人情報漏洩事故は起こるのです。

あしすと阪急阪神は何を禁止していたのか

ニュースでは「業務用パソコンのデータを無断で私物のUSBに複写し」と述べられていますが、データの無断複写を禁止していたのか、私物USBの使用を禁止していたのか、はっきりしません。あるいはどちらも禁止していたのかも知れませんが、では何故今回のようなUSBメモリー紛失事故が起きたのでしょうか。

無断で、と言っているので、なんらかを禁止する社内規程はあったのでしょうが、実際には何もシステム的な対策をせず、管理もしていなかったことが露呈しています。きっと多くの社員が同じような事を平気でやっている、あるいは出来る職場だった事も簡単に想像出来ます。

この事故を起こしたのは、ポケットからUSBメモリーを落としたことが分からなかった社員のせいではなく、ずさんな行為が許されるまま放置し続けた会社に多大な責任があります。

顧客の情報を扱っていることの重大さを責任者は誰一人理解出来ていなかったし、専任の情報セキュリティ担当者も配備されていなかったでしょう。

人は必ず事故を起こす

人間は、プログラムを書けばその通りに動くロボットではありません。ダメだと言われる(分かっている)事も平気でやるし、リスクに応じた行動も出来ないのが人間です。私だってデスクの上の飲み物をこぼすし、家にスマホを忘れて出勤することもあります。

だからこそ、情報セキュリティ担当者は「ダメだと言っているのに絶対にやらかす」ことを前提とした情報セキュリティ対策を実施しなければなりません。

私物USBメモリー使用禁止なら、あるいはUSBメモリーへ無断複写禁止なら、業務用パソコンのUSBポート経由でデータの読み書きが出来ないようにするべきで、必要があるなら責任者だけが操作できるUSBポートが使えるPCで責任者やその補佐だけがUSBメモリーへの複写作業を行えば良いのです。

そうすれば会社が用意して会社で保管しているUSBメモリーを利用しているか、どんなデータを複写しているか、がチェック出来ますから、無断で、などということは無くなりますし、複写するデータは暗号化処理を行うことで、「この人は絶対にうっかり紛失するだろう」という前提に基づいた最低限の対策となります。

職場の業務用PCでUSBメモリーを使えなくする方法
PCでUSBメモリーを使えなくする方法はいくつかあります。BIOS設定を変更するだけでもUSBポートを使用不可にすることは出来ますが、そうするとUSBマウスやUSBキーボードも使えなくなるので、USBメモリーを無効化するソフトを使うかレジストリキーの値を変更して、USBメモリーだけを使えなくしましょう。

教育だけでは情報セキュリティ事故は減らない

あしすと阪急阪神は「個人情報をはじめとする情報の取扱等について徹底した教育を実施してまいります」と今後の対策を述べていますが、徹底した教育で再発防止できるという考え自体が甘すぎるし、そんな考えしか持っていなかったから、今回の事故が起こったということに気づいていません。

あしすと阪急阪神の親会社である阪急阪神ホールディングスは、「情報管理の甘さを深く痛感しています。管理態勢を見直すなど、速やかに再発防止策を講じていきます」としていますが、本当に子会社は情報管理を怠っていたし、これほど情報セキュリティ対策の重要性が増しているにもかかわらず、情報セキュリティ対策にコストをかけず無策なまま顧客情報を扱っていた甘さを痛感しても後の祭りです。

情報管理の甘さ、すなわち、ダメだと言っていることは絶対にしないという性善説に頼るだけの情報セキュリティ対策しかやっていない組織では、必ずや同じように、顧客や児童、生徒、患者の情報を、私物USBメモリーに抜き出し、あげくそれを紛失する事故が繰り返されるでしょう。

どんなに不便になろうと作業効率が低下しようと業務PCのUSBポートはデータの読み書きが出来ないように、物的な対策を行うべきです。そうしないと、個人情報入りのUSBメモリー紛失事故は絶対に防ぐ事が出来ません。職員や社員が頻繁にUSBメモリーにデータを読み書きすることなんて本来あるはずもなく、あるなら業務フローが異常なだけで、いずれにしてもUSBポートを今すぐ使えなくしてから考えれば良いのです。
USBメモリー紛失事故を防止する最低限必要な対策とは
個人が所有する情報をUSBメモリーに保管して持ち歩くのは自由ですが、所属する組織や会社で扱うあらゆる情報は一個人のものではなく、うっかり紛失したでは済まされません。企業や会社の情報を守るためにはUSBメモリー等の電記録媒体の徹底した管理ルールを定めることが必要です。ルール作りに悩む担当者さんのために、USBメモリーの管理ルールの例をご紹介します。
arisa

1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。新人の情報セキュリティ担当者に向けた組織の情報セキュリティ対策のヒントや、個人でパソコンやスマホを使う場合の情報セキュリティ対策を、私の実体験を交えながら解説しています。

arisaをフォローする
セキュリティNEWS
arisaをフォローする
情報セキュリティ対策の真実

コメント