尼崎市の全市民約46万人の個人情報が入ったUSBメモリーを紛失した事件、これまでも色々な情報漏洩事件があったけれど、その人数もそうだし内容もほぼ個人情報全体を網羅しているような物(氏名、住所、生年月日、口座情報等)であり、深刻度としても国内で発生した漏洩事件でも最大規模最大深刻度の事象じゃ無いだろうか。
報道などでの情報をまとめると、
- 尼崎市が事務委託業者にデータ移管作業を依託
- その作業を事務委託業者から再委託された業者が作業
- 担当者が検証用(?)にUSBにデータをコピーし、データセンターで作業
- そのままUSBを保持したまま、打上(?)で遅くまで飲酒・泥酔
- 外で寝込んでいたところ、USBを入れていたカバンを紛失(盗難?)
- 当該者が申し出て、事件発覚
- 事件の記者会見で、パスワードの形式や桁数が漏れてしまう
根本原因は、どうも自分の判断で勝手にデータをUSBにコピーして持ち出した作業者何ですが、となるとそう言う場合の持ち出して順とか、パスワード等の保護対策とか、それらの手続きがどれだけ適切に運用されていたかが問題になりそう。さらに、そう言う最重要データを保持しながら、酒席に参加して泥酔までしてしまう個人的な行動規範みたいなものも問われるだろうなぁ。今の所情報漏洩やそれに関しての被害は確認されていないと言うけれど、今後何か有った場合にこの紛失事件が原因と言う確証も出来ないだろうし、結局は有耶無耶になるのかなぁ。尼崎市民だけに集中して、例えば口座への不正アクセスが有ったとか言うことが多発すれば、その可能性はありそうだけれど。
ところで、個人的に気になったのは、「USBメモリーの内容を消去していなかった」という発言。つまり、データ移行確認作業が終了したら、USBメモリーを消去する予定だったらしいけれど、仮にそうであっても紛失したら問題は同じ。「消去作業」の程度がどれほどまで実行するのは不明だけれど、単純にフォーマットするだけだとデータ本体部分を削除するわけじゃ無くて、ファイルのヘッダー情報部分だけ削除するだけですから、それなりに知識と技術(ツール)があれば、結構簡単に回復できてしまう。そう言う意味では、理由は不明だけれどデータをUSBに入れて持ち出したことが根本原因な訳で、それを手順として認めていなかったのであれば、やはり作業者本人の行動が問題だろうなあ。データ漏洩の多くは、ヒューマンエラーなんですよね。だから厳密な手順を決めたり、出来るだけ自動化するなどして、そう言う要素が入らないように苦労するんですが、どうしても突発的な作業だったり細かな作業は、経験者が出ていって処理しないとスケジュールが保持できない市現実的に無理。で、仮にベテランが作業しても、どうしても「万一、万万が一」という事は発生してしまうんですよね。「油断」というのか「慣れ」というのか。自分も注意しないと。
0 件のコメント:
コメントを投稿