事故から学ぶ

企業採用担当者や学生の個人情報を誤って公開 – 奈良先端大

事故概要

業種 学校法人 大学
発生時期 2018/8/7-2018/10/22
漏えい人数 3,103人
事故概要

奈良先端科学技術大学院大学(NAIST)情報科学研究科において、本来学内からの閲覧に限定されるべき個人情報を掲載した学内向けのウェブサイトが、2018年8月7日から10月22日にかけて、学外から閲覧できる状態となっていたがと発表した。
問題のウェブサイトには、企業405社の採用担当者の氏名とメールアドレス1086件を記載。さらに修了生246人の氏名と学生番号、利用停止済みのメールアドレス、および在学生と修了生1771人の氏名と学生番号などを掲載していた。
同サイトを運用しているサーバの更新時に、アクセス制御の設定を誤ったのが原因。
同大では問題発覚後、設定を修正し、学外からのアクセスを禁止するとともに、検索サイト上のキャッシュを削除する措置を実施。対象となる企業と学生に対し、書面で謝罪を行っている。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-18 (第20条)安全管理措置(第21条)従業者の監督”作業ルールの徹底(誤送信防止)

チェックリストにある要求ルール:

ホームページに情報を掲載する際、個人情報、社外秘情報が含まれていないことを、複数回チェックしていますか。掲載後にも直ちにこれらの情報が掲載されていないかチェックしていますか。
FAX送信時には電話番号を確認するなどのように、宛先の送信ミスを防ぐ仕組みを徹底していますか?
個人情報を郵送する場合、書留などの追跡可能な郵便を利用していますか。
他人に依頼せず、直接郵便窓口に持参するなど郵便局への引き渡しを確実なものにしていますか?
個人情報を含む書類を個人情報の所有者(本人)に渡す際、本人確認とさらに本人が要求、あるいは本人に渡すべき書類であることを確認していますか?
電子メールに不要な添付ファイル、あるいは誤ったファイルが添付されていないか確認してから送信していますか?

■ 推奨対策

対策:

再発防止策として、外部から定期的にサイトへのアクセスを実施し、意図しないキャッシュの発見及び異常が発生した場合には自動で関係者に通知を行うシステムを導入するとしている。
また個人情報保護及び情報セキュリティ教育内容を再度見直し、全社的な情報管理体制の更なる強化に取り組む。

具体例:

ITサービスでの安全性確認は、既知の問題に対する確認しかできない。従って確認者の知識向上が不可欠になるが、ここに力を入れる企業が少ないのも問題である。せめてニュースに取り上げられるサイバーアタックのキーワードだけは必ず押さえておき、利用しているクラウドサービス担当者とセキュリティ対策について、責任ある回答を常に得ておくべきであるし、セキュリティセミナーなどにも積極的に参加させなければならない。社員教育とは「個人情報を守りましょう」という研修だけではないことを、企業の幹部自身が理解しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。