事故から学ぶ

タイを訪問した外国人1億600万人分のパスポート情報がネットに漏洩か ANN

事故概要

業種 【情報】
発生時期 2021/9/20
漏えい人数 1060000
事故概要

(国)過去にタイを訪問した外国人約1億600万人分のパスポート情報などがインターネット上に一時公開されていたことがわかった。
イギリスの調査会社は20日、過去にタイに入国した外国人約1億600万人分のパスポート情報などのリストが一時インターネット上に公開されていたと明らかにした。
公開されていたのは2011年以降に入国した外国人の氏名やパスポート番号、在留資格などで、調査会社が公表したリストの一部とされる画像には、複数の日本人とみられるデータも含まれていた。
タイ当局は8月下旬に調査会社からの報告を受け、速やかにデータを保護したとしている。タイ当局によると、リストが売買されるなどの被害は確認されていないという。

引用元 ANN

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置 作業ルールの徹底(システム管理、社内限り公開の確認)

チェックリストにある要求ルール:

社内で使用するシステムが正常に作動しているか、毎日確認をし不審な動きがあればすぐに対応できる体制を整えていますか?
不審な動作に対し警告出る仕組みを導入していますか?
新しいパッチを適用したり、システムの改修を行ったときは、セキュリティー対策面からのテストと確認を実施していますか?
システム改修後に再投入したデータに誤りが無いことを確認しましたか?
不要なデータが表示されることが無いか、全ページでテストを行いましたか?
ホームページの不正改ざんに備え、監視強化やセキュリティパッチの更新を実施していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?アプリケーションやホームページの公開を正しく設定していますか。社内のPCからは公開、一般非公開の区別なく情報が見えてしまいます。必ず社外のPCから確認してください。

■ 推奨対策

対策:

作業ファイルを社内共有するシステムとWeb等に外部公開するシステムがあると発生させてしまう事故である。
・設定を誤り社内ファイルを外部公開して個人情報を漏えいさせた。
・社内限りファイル名と公開ファイル名が似ており、誤って社内限りファイルを外部公開し個人情報を漏えいさせた。
・公開期日前に社外公開ファイルをアップロードしてしまった。(混乱を招いた)
考えるだけだとありがちなミスだととらえらるが、ありがちな事故をいかに防ぐかが個人情報保護に求められる漏えい防止策である。今後は注意します、というはなしではない。
ウェブサイトを構築した際、あらかじめ想定していた機能が動くかどうかテストを行うことは一般的であるが、このような予期しない不具合の有無を確かめるため、脆弱性の検査、あえてユースケースとは異なる使い方がされた場合を想定するミスユースケーステストなどを行い、品質を確認する必要がある。
さらに、もともと閲覧権限が与えられている社内にあるPCで確認を続けている限り、システム異常は見つけにくい。システムテストの工夫が必要である。

具体例:

たかがメール送信と考えず、認識を新たに教育の徹底をしつこく行うべきである。担当者も異動などで流動的であるはずなので、リスクを組織として認識しておかなければならない。
メール誤送信は組織の怠慢であるととらえて、組織のリスクマネージメント力を試されていると考えてた方がよい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。