預金保険機構で顧客情報の紛失が発生しました。
<顧客情報紛失>預金保険機構、関西の金融機関分数十万件を(yahoo!ニュース)
顧客情報を記録したCDとフロッピーディスクを紛失したということです。
預金保険機構は、紛失した媒体に記録したデータにはパスワードを設定していたので悪用の可能性は低いと発表しています。
今の世の中、様々なデータを持ち歩いている人は多いと思います。個人情報だけではなく仕事で使うデータも、もし紛失したら・・・と考えたことはありますか?
PCは小型軽量化され、記憶媒体も小さく大容量となり、情報の持ち運びはとても便利になっています。それゆえ、盗難・紛失対策が大変重要です。
それは個人レベルではなく、会社としての対策が必要だと考えます。
会社によって内容は多少異なるかと思いますが、最低限必要、少なくとも検討の必要はあると考えられるものをいくつか上げてみました。
青森市の職員が、職務上知りえた個人情報を第三者に携帯メールで送信するという事件がありました。
青森市:個人情報を第三者に送信 職員を懲戒処分−−不祥事の内容は明かさず /青森(Yahoo!ニュース)
個人情報の載ったリストに知人の名前を見つけ、それが本人かを確かめるために別の知人に携帯メールを送信したとのことですが、とても安易な行動です。
情報漏洩をした職員は、その行為が「情報漏洩」になるとは思いもしなかったように感じられます。
その職員は知人だと確認できたらどうしたかったのでしょうか?
個人情報保護法が制定される以前から、公務員には地方公務員法に定められる守秘義務があります。公務員の知りうる個人情報は細部にわたるものですから、入庁時だけではなく、定期的・継続的な教育を強く望みます。
また、青森市のこの事件に対しての報告に関しても問題があるように感じます。
事件の対処として、社会への説明も重要な項目の一つです。
収束に向かっていたと思われていたアリコの情報流出事件ですが、被害が拡大していることが明らかになりました。
アリコの情報流出、3万2000人に拡大 流出経路は海外委託先(Yahoo!ニュース)
情報流出は社内(業務委託を含む)の人間が関わっていることが大変多くなってきています。
以前の記事でも「情報セキュリティ教育は経営者の責任」と書きましたが、それ以外に経営者が取るべき、そして経営者がトップダウンで指示できることがあります。
それは、「強制的な休暇」です。
手間がかかるわりに、被害や事故が発生しないと効果が見えないため、ついつい後回しにしたくなる「情報セキュリティ対策」。
大企業では、日本版SOX法の施行などでかなり対策が進んでいますが、中小企業は後手に回っているようです。
しかし、毎日のように発生する情報漏洩の中には、契約社員や情報管理委託をしている会社が絡んだ事件も発生しています。
このような状況もあり、大企業の方も委託する会社の情報セキュリティを確認する傾向がでてきています。
中小企業は情報セキュリティ対策を行わないと、仕事を受注できなくなる危険性があるのです。中小企業ものんびりしている場合ではありません。
IPA(独立行政法人 情報処理推進機構)は中小企業向けに「5分でできる!自社診断シート」などを公開していますが、今回「5分でできる!情報セキュリティポイント学習」という学習ツールを新たに公開しました。
毎日のように情報漏洩の事件に事欠きませんが、17日にもヤマハミュージック中四国で、個人情報が2500件ほど入ったUSBメモリの紛失が発覚しています。
個人情報:ヤマハミュージック岡山店、2500人分紛失 /岡山(毎日jp)
さて、もし自分の情報を漏洩されてしまった場合、どのような対応を受けるのでしょうか?
今年発覚したいくつかの大きな事件では、商品券やプリペイドカードが「お詫び」として渡され、金額としては 500円から1万円と幅があるようです。
自分の情報が流出した実感がないまま、1万円の商品券が送られてきたら、どう感じますか?
またWinnyをインストールしていたPCから個人情報が流出しました。
毎度同じパターンです。
仕事のために顧客情報を個人のPCにメール送信したところ、そのPCから流出。そのPCにはWinnyがインストールされていました。
参考:かんぽ生命、Winnyで顧客情報流出 - 民営化前の委託先社員PCが感染と発表(マイコミジャーナル)
先週の記事、「JR西日本の情報漏洩」にも書きましたが、情報セキュリティ対策として重要なものの一つは「教育」です。
顧客情報を流出させてしまった社員は、社則で自宅での業務は禁止されていました。それにも関わらず業務を行うために個人のPCに転送し、結果、このようなことになったのです。
これでは、この会社のセキュリティ教育は不十分だったということになります。
Winnyについては、ちょうど開発者に逆転無罪の判決が出たばかり…。
HotmailやYahoo!、Gmailなど、無料のWebメールサービスでアカウント情報が大量に流出しました。
今回の情報流出は各社のセキュリティの問題ではなく、「フィッシング詐欺」によるものと説明、ユーザにはパスワードなどを変更することを勧めています。
フィッシング詐欺とは、メールやサイトから偽のサイトに誘導し、そこでユーザIDやパスワード、クレジットカード番号などを盗み取る犯罪です。
フィッシング詐欺を防ぐには、
そして、もし「ひっかかったかな?」と思ったら、パスワードを変更する、またはアカウントを削除するのも有効です。
各社はパスワードの変更を強く勧めていますが、ここでパスワードについて考えてみましょう。みなさんはどのようなパスワードを設定していますか?
テレビをみて、それがドラマや映画でないことにとても驚いた、JR福知山線の脱線事故。
今回はこの事故に関して最近ニュースになった情報漏洩について考えてみます。
報道されたのは、JR西日本社長(当時)が事故調査委員会から報告書の内容を入手し、さらにJR西日本に有利な内容への書き換えも働きかけていたということです。
この件で「情報セキュリティ対策」として不足していたものは何でしょう?
記憶に新しい情報漏洩事件としてはアリコの件がありますが、
以下の二件はみなさんどう思われたでしょう?
・野田市で車から生活保護情報が盗難
野田市の社会福祉課の職員がスーパーで買い物をしている間に車上荒らしにあい、バッグを盗難された。盗難されたバッグには生活保護世帯の個人情報が119件入っていた。
・東京理科大学の大学院入試問題が漏洩
大学院の試験問題の作成を行う教授が、研究室の共用パソコンで問題を作り、それを放置していたため、学生がそれを見つけ印刷して持ち出した。
どちらの事件も意図して情報を流出させたものではありません。
盗難にあった職員は、他のものも盗難されているかもしれず、それについては大変お気の毒というしかありません。
しかし、自分達の扱っている情報の重要度を正しく認識できていたのでしょうか?
最近のコメント