事故から学ぶ
Webアンケートに関連する個人情報の漏洩について
事故概要
| 業種 | 民間企業 |
| 発生時期 | 2021/9/15 |
| 漏えい人数 | 79 |
| 事故概要 | 当社で開催したオンラインセミナー「アフターコロナでクラウドシフトが加速する!HPE Arubaのソリューションが役立つ理由」に関連して当社から参加者に9月16日にお送りしたメールで、WebアンケートのURLの記載に誤りがあり、回答を含めた回答者の個人情報が他の回答者から一定期間、閲覧可能な状態にありました。現在では、当該Webページは閲覧不可にしています。当社で開催したオンラインセミナー「アフターコロナでクラウドシフトが加速する!HPE Arubaのソリューションが役立つ理由」に関連して当社から参加者に9月16日にお送りしたメールで、WebアンケートのURLの記載に誤りがあり、回答を含めた回答者の個人情報が他の回答者から一定期間、閲覧可能な状態にありました。現在では、当該Webページは閲覧不可にしています。 |
| 引用元 | 伊藤忠テクノソリューションズ株式会社 |
■ 事故原因
事故の原因はチェックリストの下記項目が該当すると推察します。
(第20条)安全管理措置 作業ルールの徹底(システム管理、社内限り公開の確認)
チェックリストにある要求ルール:
社内で使用するシステムが正常に作動しているか、毎日確認をし不審な動きがあればすぐに対応できる体制を整えていますか?
不審な動作に対し警告出る仕組みを導入していますか?
新しいパッチを適用したり、システムの改修を行ったときは、セキュリティー対策面からのテストと確認を実施していますか
システム改修後に再投入したデータに誤りが無いことを確認しましたか?
不要なデータが表示されることが無いか、全ページでテストを行いましたか?
ホームページの不正改ざんに備え、監視強化やセキュリティパッチの更新を実施していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?アプリケーションやホームページの公開を正しく設定していますか。社内のPCからは公開、一般非公開の区別なく情報が見えてしまいます。必ず社外のPCから確認してください。
■ 推奨対策
対策:
作業ファイルを社内共有するシステムとWeb等に外部公開するシステムがあると発生させてしまう事故である。
・設定を誤り社内ファイルを外部公開して個人情報を漏えいさせた。
・社内限りファイル名と公開ファイル名が似ており、誤って社内限りファイルを外部公開し個人情報を漏えいさせた。
・公開期日前に社外公開ファイルをアップロードしてしまった。(混乱を招いた)
考えるだけだとありがちなミスだととらえらるが、ありがちな事故をいかに防ぐかが個人情報保護に求められる漏えい防止策である。今後は注意します、というはなしではない。
ウェブサイトを構築した際、あらかじめ想定していた機能が動くかどうかテストを行うことは一般的であるが、このような予期しない不具合の有無を確かめるため、脆弱性の検査、あえてユースケースとは異なる使い方がされた場合を想定するミスユースケーステストなどを行い、品質を確認する必要がある。
さらに、もともと閲覧権限が与えられている社内にあるPCで確認を続けている限り、システム異常は見つけにくい。システムテストの工夫が必要である。
具体例:
誰かに二重チェックを受ける、というのも有効な対策であるが、多忙な中で人の手を借りるのは気が引ける。それゆえセルフチェックが重要になる。セルフチェックとは自分自身のコミットである。自分のやった作業に対し自分がコミットする、という自覚をもってセルフチェックを実施していただきたい。
ご入会のお手続きはこちら
会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。
