事故から学ぶ

株式会社ジーアール 「オムニECシステム」一部サーバーへの不正アクセスについて

事故概要

業種 民間企業
発生時期 2021/9/1
漏えい人数 0
事故概要

2021 年 9 月 1 日に「オムニ EC システム」ご利用のシステムユーザー様からのご利用障害についてのお問い合わせを受け、直ちに調査したところ、個人情報が流出した可能性を示す痕跡が発見されました。
詳細な調査の結果、オムニ EC システムの 2 台のサーバーに不正アクセスされ、個人情報が流出した可能性を示す痕跡を 9 月 3 日に確認しました。
直ちに歯止め対策を実施し、不正アクセスされた 2 台のサーバーに対応しました。また、不正アクセスのなかったサーバーにもさらに追加の安全対策を実施しました。
弊社は、京都府警中京警察署にサーバーへの不正アクセス被害の届け出を実施し捜査依頼を行いました。
弊社サービスご利用ユーザー様には多大なご迷惑とご心配をおかけし誠に申し訳ございません。善後策に万全を期すとともに、誠心誠意対応させていただきます。また、現在問題なくご利用いただいておりますシステムユーザー様には、引き続き安心してご利用いただけるよう安全対応内容等をご説明申し上げます。

引用元 株式会社ジーアール

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

誤開示(ご配布)は、漫然と仕事を進めた結果であるが、再発防止は管理面から考える必要がある。
ホームページへの誤掲載、同姓同名で書類を間違って公布したあるいは送付した、公布文書に余分な起債が残っていた、黒塗り開示したが読めてしまった、など漏えいリスクは多種多彩であるが、対策は「今後は注意します」の一言で終わってしまう。それでいいのだろうか。

具体例:

多忙が理由で確認不足になるのはありがちないい訳である。しかし、それで個人情報を漏えいされたら困るので、重要管理ポイントという場面を作り、セルフチェックをさせるのが良い。ここでいうセルフチェックとは自らの仕事に自らコミットすることである。
左記に上げた様々な漏えいリスクに対する漏えい防止策に管理ポイントを設定し、ポイント毎に自分で自分に仕事の完了をコミットすることである。
各自がセルフコミットをすることが、組織全体として管理不全の解消になる。
セルフコミットには多忙だからスキップしたという言い訳ができない。あなた自身の仕事がいい加減である、という宣言につながるからである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。