第65話 USBメモリ個人情報紛失〜本当の原因は
USBメモリ紛失は5社に1社発生している事実
紛失した店長の責任!?
本漏洩事故については、USBメモリを紛失した店長を責める声が多いのではないかと思う。確かに直接的にはUSBメモリ紛失の直接の原因ではある。
しかし本当の原因は、カネボウが自社の1万名以上の顧客データを、USBメモリで受け渡すことを許可していることであると考える。
この漏洩事故を時系列にまとめる。
おそらく店舗ではカネボウの営業担当も常駐しており、顧客の購入時に自分のPC(カネボウ貸与)から顧客情報を入力していたのだと想像される。
しかし店舗が閉鎖されるにあたり、返品対応などの受付はカネボウ営業担当が応じることが出来なくなる。このためカネボウの顧客データベースから、当店に関わる顧客データを抽出し、店長にUSBメモリで渡したのであろう。
しかし店長はシステム操作の経験も浅く、そもそも店舗撤去という大作業の中、USBメモリはどさくさに紛れて紛失したのだろう。
20日。おそらく返品対応などの顧客問い合わせでUSBメモリ紛失が発覚し、カネボウから顧客データを再複製してもらい対応したと考えられる。
なぜカネボウは現場でのUSB保存を許可したのか
ゼロトラストFTAの視点では、USBメモリ紛失発生率は19.8%と高く、1年間で5社に1社が発生している。
USBメモリは持ち運びが便利であるというメリットと同じ用に紛失しやすいというデメリットがある。
企業の機密情報、特に顧客データなどは、絶対にUSBメモリへの複製を許可してはいけないのは、そろそろ企業のセキュリティ管理の常識となっているのではないかと思う。
カネボウ社の中で、どういう承認フローによって、現場の営業担当者が1万名以上の自社の大切な顧客データをUSBメモリに複製保存することを認めたのかが一番重要なところとなる。
ルミネ店店長のUSBメモリ紛失はヒヤリハットの法則で、時間の問題で起きていたと考えられる。
それよりカネボウ社は如何なることがあっても、現場担当者が顧客データ(それも1万人以上)をUSBメモリに保存することを許可しない体制が本来は必要であった。
もし業務引き継ぎで顧客データをたしろ薬品に受け渡す必要が生じたならば、カネボウのシステム部からたしろ薬品のシステム部に、きちんとデータが暗号化された状態で送信されるべきだった。
顧客データの担当者保存は絶対に禁止するべき理由
今回はたしろ薬品が紛失当事者ということで、個人情報保護委員会への報告と、謝罪文の掲載という対応をしている。
しかし企業のITセキュリティに携わる人間は、本事故の本当の原因は「自社の顧客データを現場の人間がUSBメモリで持ち出せた」というフローの穴にあることに気づいて頂きたい。
USBメモリを紛失した現場の人間に責を負わせるだけでは、この手の事故は決してなくならない。人間はどんなに努力しても紛失する時はなくすし、間違える時は誤操作をする。
そのように人間は「失くすものだ」「間違えるものだ」と信用しない前提が、本当の「ゼロトラスト」と言える。
この記事が気に入ったらサポートをしてみませんか?