事故から学ぶ

TOP > 事故から学ぶ > USB紛失防止、管理手順の不備解消 > データの受け渡し過程でバックアップデータ紛失 – 豊橋市

2020/07/31

データの受け渡し過程でバックアップデータ紛失 – 豊橋市

事故概要

業種	地方公共団体　市
発生時期	2020/5/8-2020/5/29
漏えい人数	25979
事故概要	愛知県豊橋市は、同市上下水道局と取り引きがある事業者の個人情報が保存されたUSBメモリを紛失したことを明らかにした。同市によれば、上下水道局の公営企業会計システムデータのバックアップデータを保存したUSBメモリが所在不明となっているもの。事業者の氏名や住所、電話番号、ファックス番号など最大1万9828件と、口座番号や口座名義、預金種別、銀行名、支店名など最大6151件が保存されていた。同市では、災害対策としてバックアップデータを格納したメディアを1カ月あたり2回のペースで保管事業者に対し、入出庫を行っているが、5月8日にUSBメモリを保管事業者へ引き渡した際、あるいは同月29日に引き取り、担当課である上下水道局総務課へ返却する過程で紛失したと見られている。ファイルの開封時にパスワード入力が求められるとしており、圧縮ファイルの復元はシステム保守業者しかできず、復元したファイルは公営企業会計システムを使わないと閲覧できないとしている。紛失にともなう個人情報の漏洩などは確認されていない。同市では関係者へ謝罪。入出庫時やメディアの受け渡し時における確認の徹底、マニュアルの整備、研修などを通じて再発を防止するとしている。
引用元	Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-17（第20条）安全管理措置（第21条）従業者の監督　作業ルールの徹底（電子データ、情報機器の紛失防止）

チェックリストにある要求ルール：

電子データの重要情報を社外へ持ち出す時は許可を得ていますか。持ち出しの記録を取っていますか？
電子データの持ち出し時にはパスワード保護や暗号化し、さらに肌身離さないなど、盗難や紛失の対策をしていますか？
ＰＣの画面などを第三者に見える形で使用していませんか？
USBメモリは自動暗号化されるセキュリティータイプをしようしていますか？
USBは首からかけるストラップのような大きな印をつけて目立たせるなど紛失や置き忘れ防止策を講じていますか？
パソコンや業務携帯などの紛失防止教育を徹底していますか。
重要情報やPC,USB等が入ったカバンを持ち歩く必要がある場合は、肌身離さず持ち歩ることを身につくまで、徹底教育していますか？
携帯電話、スマートフォンの紛失と盗難を防止する物理的な対策を講じていますか？

■ 推奨対策

対策：

正規の業務手順として、USBを介してデータの授受が組み込まれている中での紛失事故である。
オフラインでのデータ授受でUSBを使用すること自体は良いとして、受け渡し後の管理に不備がある。
授受簿を付けるのは当然として、受け取ったUSBの管理を追跡できない点は、「管理体制の不備」である。

具体例：

USBは小さいから無くなるので、目立つように対策を講じて頂きたい。