事故から学ぶ

COP24におけるセキュアUSBメモリ等の紛失について

事故概要

業種 政府機関 環境省
発生時期 2018/12/16
漏えい人数 未発表
事故概要

COP24会場内日本政府作業部屋に保管していたセキュアUSBメモリ(利用パスワードが記載されたカード等を含む)及びモバイルパソコン(利用パスワードが記載された書類等を含む)がなくなっており、関係職員に聞き取りを行ったところ、これらの機器を持ち帰っていないことがわかりました。USBメモリのケースだけが残されていたなど現場の状況から、盗難に遭ったと推測されます。
2.保存されていた可能性のある情報
(1)セキュアUSBメモリ
関係職員への聞き取り及び管理システムのログで確認したところ、COP24期間中における当該USBメモリの利用実績はないものの、管理システムのログによると、平成29年11月~平成30年5月までの情報(COP23における交渉や環境大臣のバイ会談に関する概要等に関する情報)が含まれていた可能性があります。
これらの情報には個人情報(メールアドレス)が含まれ、また、開示を前提としていない情報が含まれていた可能性がありますが、秘密情報は含まれません。
(1)USBの利用停止措置及びモバイルパソコンの接続制限措置
(2)モバイルパソコン
COP24に関するツィッターの原稿、写真データ及び大臣日程(公開可能な情報)

12/17(月)から管理システムより、当該USBメモリの利用停止措置及び当該モバイルパソコンからの環境省ネットワークへの接続制限措置を実施
(2)警察当局への届出
1/4(金)11時頃(ポーランド時間)、在ポーランド日本国大使館を通じて、ワルシャワ1警察署に被害届を提出

引用元 環境省

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-11 (第20条)安全管理措置 作業ルールの徹底(盗難防止)

チェックリストにある要求ルール:

重要情報を机の上に放置せず書庫に保管し施錠するなど、重要情報の紛失や漏えいを防止していますか?
パソコン自体に盗難防止装置をつける、不在時は部屋を施錠する、ノートパソコンなどは鍵のかかるロッカーに収納する、などの盗難防止策を講じていますか?

■ 推奨対策

対策:

作業部屋に保管していたセキュアUSBメモリ(利用パスワードが記載されたカード等を含む)及びモバイルパソコン(利用パスワードが記載された書類等を含む)がなくなった、ということから盗難防止策が甘かったと思慮される。

具体例:

現場は、他国のホテルか会場内にある作業部屋であることを考慮しても、そもそもモバイルパソコンやUSBを放置して離籍するのには問題がある。仮に日常的に使用している国内のオフィス環境であっても、USBの放置は論外であり、離籍時には正規の保管場所に戻すべきである。重要情報が入っているモバイルパソコン自体を置いて離籍する場合は、無人にして机上に置いたままにしてはならない。必ず鍵のかかるロッカーに収納など盗難防止措置をすべきである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。