事故から学ぶ

不知火支所総合窓口課で、個人情報含むUSBメモリを紛失、判明は1月 – 宇城市

事故概要

業種 熊本県宇城市 地方公共団体
発生時期 2019/01/1
漏えい人数 296人
事故概要

熊本県宇城市は、職員や市政関係者の個人情報が保存されたUSBメモリが所在不明になっていることを明らかにした。
同市によれば、不知火支所総合窓口課で保管するUSBメモリ4個のうち1個を紛失したもの。1月に外部記録媒体の調査を行った際に判明していた。
問題のUSBメモリには、地域連絡協議会の名簿や、地域懇談会委員名簿、非常勤職員面接受付簿、衆議院選挙期日前投票所の投票管理者、投票立会人、ポスター掲示設置場所一覧表、災害待機班の市職員名簿などのファイルが保存されていた。関係者296人の氏名や住所、電話番号などが含まれる。
問題のUSBメモリが最後に使用されたのは2018年3月27日で、それ以降所在がわからないという。同市では対象となる関係者に、謝罪の書面を送付したとしている。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-17 (第20条)安全管理措置(第21条)従業者の監督 作業ルールの徹底(紛失防止)

チェックリストにある要求ルール:

重要情報を社外へ持ち出す時は許可を得ていますか。
持ち出し時にはパスワード保護や暗号化して肌身離さないなどのように、盗難や紛失の対策をしていますか?
USBメモリのように小さなものは、首からかけるストラップのような大きな印をつけて目立たせるなど紛失防止策を講じていますか?
パソコンや業務携帯などの紛失防止教育を徹底していますか。
紙書類の持ち出し時はカバンに入れ、落下や風による飛散を防いでいますか。
重要情報やPC,USB等が入ったカバン自体を肌身離さず持ち歩いていますか?

■ 推奨対策

対策:

USBメモリが最後に使用されたのは2018年3月27日というログが取れるのだから、システム的には認識できる仕組みを入れているように見受けられる。その先の人間系の管理で問題を起こしたようである。
前年3月に使用したものを、今年1月に外部記録媒体の調査を行った際に紛失に気づき、さらに今年の8月になってから発表する、というのでは、個人情報の重要性の認識と、危機管理意識が残念ながら欠如している。

具体例:

今回のケースにおける問題は、
①紛失を認識するまでの時間軸
②紛失を認識してから発表までの時間軸
という時間経過である。
使用終了後、所定の場所に返却する際に現物確認するのが管理の基本であり、定石通り行っていれば、返却されたあとの無断持ち出しに対応の焦点があたることになる。返却時の確認がなされていなければ、課題は管理体制そのものに踏み込んで解消しなければならない。ログ取りをしているだけに残念な体制である。
もうひとつ、一概に言えないが、USBは臨時のファイル保管場所であり、返却時には内容を消去してもどすのが正しい対応である。さらに、なお、個人情報保護委員会では、保存するファイルの暗号化を強く推奨しており、面倒でも取り組まなければならない。
高機能USBでない限り、持ち出したファイルがどのように使用され、どこでコピーされたのかも管理できないので、USB使用時には単一目的でファイルを保存し、使用が終わり次第、内容を消去するのが管理上望ましい。
USBの使用方法、管理方法を抜本的に見直す必要がある。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。