事故から学ぶ

個人情報含むUSBメモリを出張先で紛失 – 金沢大

事故概要

業種 金沢大学
発生時期 2019/11/7-2019/11/8
漏えい人数 47人
事故概要

金沢大学の教員が、学生の個人情報が保存されたUSBメモリを持ち出し、紛失したことがわかった。
同大によれば、11月7日から8日にかけて国内で開催された学会に教員が参加した際、出張先で業務を行うために持参していたUSBメモリを紛失したもの。USBメモリやデータなどにパスワードなどは設定されていないという。
所在不明となっているUSBメモリには、同教員が担当する科目の受講学生43人の氏名や学籍番号、所属、国籍などを保存。また同教員が指導する学生1人の氏名、メールアドレス、所属研究科や学外関係者3人分の情報も記録しており、氏名や勤務先、職歴、学歴のほか、住所、本籍、電話番号なども含まれる。
同月9日朝にUSBメモリの紛失に気付き、宿泊したホテルや立ち寄ったレストランなどに連絡。警察へ届けたが見つかっていない。
同大では個人情報を学外へ持ち出す際に、管理者の許可が必要となるが、許可は得られていなかった。同大では対象となる学生や関係者に対し、説明と謝罪を行っている。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-17(第20条)安全管理措置(第21条)従業者の監督 作業ルールの徹底 (電子データの紛失防止)

チェックリストにある要求ルール:

USBメモリのように小さなものは、首からかけるストラップのような大きな印をつけて目立たせるなど紛失や置き忘れ防止策を講じていますか?
パソコンや業務携帯などの紛失防止教育を徹底していますか。
重要情報やPC,USB等が入ったカバンを持ち歩く必要がある場合は、肌身離さず持ち歩ることを身につくまで、徹底教育していますか?

■ 推奨対策

対策:

USBは小さく便利であるが、紛失のリスクも高く、実際紛失事故が後を絶たない。使用後のデータ消去や暗号化、収納場所への返却時に返却確認を受けること、さらに、誤廃棄や犯罪により紛失盗難に可能性を意識しなければならない。注意喚起を行う教育をしつこく徹底すべきである。

具体例:

個人情報入りUSBの紛失事故がなくならない。便利であるから「使わない」という選択は難しいが、USBの存在を目立たせる方法は工夫次第。出し入れ時の管理台帳記載、収納時のダブルチェックなど、無くさない対策をしないなら使わない、使わせない、ことを徹底教育すべきである。紛失によるリカバリーコストは莫大なものになる。
USBは必ず暗号化できるものを使用しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。