去年6月、兵庫県尼崎市にて、全市民約46万人分の個人情報が入ったUSBメモリーを委託業者が紛失するという事件がありました。
作業を終えた後同社社員 3 人と飲食店で飲酒し、帰宅する途中に酔って路上で寝込み、USB メモリーの入ったカバンごとなくしたとの事。
この問題はその後、紛失した USB も見つかり事なきを得たとの事ですが、周囲からはケシカラン調の憤りの声が多々ありましたよね。
そういう声を目にしながら「いざ自分が大事な情報を落とす立場だったらどうするべきか」。
「大事なデータを落とすなんて事がそもそも間違い」は大前提として、落とさないようどうするか、落としてしまった場合どう行動するべきかを脳内シミュレーションしてみたいと思います。
バグなんてないのが当然ですが、1つもバグのないプログラムなどありえない。
ミスなんてないよう気を引き締めるべきですが、ヒューマンエラーがゼロになることも、またありえないのです。
USB メモリーは使わないようにする
データを持ち運ぶために大変便利な USB ですが、自分の場合、これを絶対使わないようにする運用を心がけます。
その代わりとして、クラウドへのアップロードを考えます。
GCP、AWS、Slackなどなど、少なくともデータが暗号化され、ネットハックされていたとしても安全が確認できるルートを吟味しましょう。
会社を説得したいのであれば ISMAP は一つの指標になるでしょう。資格取得に結構大枚をはたく必要があるようなので、登録していない会社も多そうですが。
メールだって独自に暗号化したデータを送信、家に戻って複合化するなら(暗号化に強度があれば)安全性を認められるかもしれません。
でも PPAP お前はダメだ。家の鍵を玄関の植木鉢の下に隠しておく並みに危険性が高いから。
それでもコロナ以前くらいまで、PPAP が唯一安全、それしか許さない大手企業も多かったです。
安全とは論理的なものではなく、慣例だったり、感情的な判断が多分にあるのが厄介です。
古いルールに縛られる場合
役所や施設など古いルールで縛られた仕事の場合、クラウドはダメ、そういうの許すルールないからなんて言われてしまう場合があります。(本当によくあります。フロッピーしかダメなんてビックリルールが未だにまかり通っている場合もあります)
この場合の苦渋の選択として「パスワード付き USB メモリー」は仕方なかったのかもしれません。
USB メモリーほど失くしやすく忘れやすい危険な記憶媒体はないので、「現金 1000 万円を持ち歩いてる」くらいの気持ちで持ち運ぶ心構えを持ちたいところです。
尼崎の件、呑みにいったのはさすがに擁護しようがないギルティですね!
ただ……人間、自分にダメージのない(と勝手に思っちゃった)データは甘く見積もるイキモノなので、絶対に無きよう自らのコンプライアンス感を高めましょう。
パスワード付き USB は安全なのか
これについては「Yes」ともいえるし、「No」ともいえると思います。
安物 USB は危険性が高いです。データが暗号化されずに保存されていて、パスワードしか付いてないようなザルセキュリティの USB だってあるでしょう。
USB に保存する前に会社独自の暗号化をデータにかける、なんていうのもダブルセキュリティでいいかもしれません。(フロッピーの場合、保存前に自前で暗号化は必須となる)
パスワードは絶対にユニークな値にする
間違っても 1234 とか誰でも推測できるようなパスワードはやめましょう。
会社にちなんだ数値だったり(社名とか、設立年月日とか)、1つだけ会社で決めたパスワードを全部で使いまわす、なんていうのも危険です。
NordPass が発表した 2022 年よく使われたパスワード、Top 10。
サンプル数は少ないのですが、ほとんど数字ばっかりですね!
akubisa2020 は特殊なので、どこか大手メーカーで全員が使ってるパスワードとか、ルーターの初期設定だったりするのかもしれません。
プログラマー的には 1234 じゃなくて 0123 にしたくなる
尼崎市の再発防止策は安全か
尼崎市が本件について回答していた再発防止策を確認してみます。
再発防止策
本市全所属向けに市長通達を発信し、個人情報の取扱いについて注意喚起を実施
とりあえず言っておこう的なやつ。
既にニュースが絶大な注意喚起になっているでしょうし、それでも「ウチの部署じゃないからな!(ガハハ)」なんて部署が仮にあれば、注意喚起もおそらく役立ちはしないでしょう……。
市政情報センターのサーバルームの事業者入室を制限し、入退室管理に生体認証を導入するとともに、入退館に必要なIC カード貸与時の依頼方法を厳格化
ちょっと論点がズレてますね。
結局 USB 落としたらどうしようもない現実は変わらなさそう。
受託事業者が業務の再委託を行う場合の責任を明確化
これは再発防止というより「再発したら責任を受託事業者におっ被せる」ためのルールな気がします。
受託事業者に、データ消去や記憶媒体等の廃棄についての証明書の提出を義務付け
とてもお役所的なルール追加。
面倒は増えるけど、証明書にはなんの効力もありません。たとえ嘘の証明書であっても、それを証明することはできないからです。
本市職員に対してリスクアセスメントや情報セキュリティに関する研修を実施
これはやった方がよさそうですね! 何がリスクか、全く知らない人が大半なんて可能性もあります。
面倒だと思うことなく、真面目に履修していただければと思います。
個人情報の漏えいは確認されませんでした
USB が見つかった事ですし漏洩は 99% なかったと思いますが、1% の可能性を否定することもできないでしょう。(アクセス履歴の残る USB なんて聞いたことないですし)
万が一抜かれていた場合どういった事に利用されるか考えてみます。
よくありそうなのは「口座に勝手にお金が振り込まれ、後日返済のお願い連絡が来る」みたいな詐欺でしょうか。
ある日 100 万振り込まれ、後日「誤って振り込みました。迷惑料として 10 万お支払いしますので、残り 90 万を手渡しで回収させてください」なんて話に乗っかったら間違いなく犯罪の片棒を担がされているので気をつけましょう。
知らない間に資金洗浄の片棒を担がされている、という詐欺の手口
また、これが実際に起こった時、尼崎の漏えいが原因だと断定できるかと言えばちょっと難しいですよね。
この件に限らず、漏えいした情報は「忘れた頃に、予想もしない方向から攻撃してくる」事が多いので、口座情報がバレてしまったのなら新規開設するなど、被害に合う前に自ら漏えいした情報を無駄にさせる行動が大事なのだと思います。
USB はもう使いません、とかないのだろうか
再発防止をするなら、そもそもここが一番重要な論点のような。
なにはともあれ、再発なきようお祈り申し上げております!