見出し画像

第65話 USBメモリ個人情報紛失〜本当の原因は

吉田 晋 情報処理安全確保支援士(登録025036号)

USBメモリ紛失は5社に1社発生している事実

たしろ薬品、顧客情報1万1千件記録のUSBメモリを紛失
株式会社たしろ薬品は2022年8月15日、同社が運営していた「THE COSMETIC TERRACE BlueStripe ルミネ横浜店」にて顧客情報1万1,147件を記録したUSBメモリを紛失したと明らかにしました。
同社によるとルミネ横浜店は2022年7月10日を最後に閉店しており、同店はデータ移行の必要性から2022年7月11日に顧客データをUSBメモリに保存しました。ところが、2022年7月20日、同店に顧客から個人情報に関する問い合わせがあり、USBメモリの使用を試みたところ、紛失が発覚。
同社は店内を捜索しUSBメモリの所在確認を行いましたが、公表時点で発見には至らず。閉店作業中にUSBメモリを紛失したものと判断し、バックアップデータを復旧後、紛失対象者らに連絡を取り謝罪しました。
株式会社たしろ薬品によると、紛失したUSBメモリには2011年1月27日~2022年7月10日にかけて同店にてカネボウ化粧品を購入し、メーカーの顧客システムに登録したユーザー情報が記録されていました。同社によるとUSBメモリには氏名、性別、生年月日のほか、住所や電話番号などの連絡先情報が記録されています。対象件数は11,147件ですが、このうち1,762件は氏名のみの登録で、クレジットカード情報も含まれていないとのこと。なお、同社はUSBメモリには情報削除の申し出があったユーザー情報が含まれているとも発表。同社では削除の申し出を受けてから一定期間が経過したのちに対応していたと説明しています。

https://cybersecurity-jp.com/news/70657

紛失した店長の責任!?

本漏洩事故については、USBメモリを紛失した店長を責める声が多いのではないかと思う。確かに直接的にはUSBメモリ紛失の直接の原因ではある。
しかし本当の原因は、カネボウが自社の1万名以上の顧客データを、USBメモリで受け渡すことを許可していることであると考える。

この漏洩事故を時系列にまとめる。

7月10日
ルミネ横浜店最終日

7月11日
カネボウ顧客システムに登録した顧客情報をUSBメモリに保存。

7月12日
USBメモリをカネボウ担当者からたしろ薬品ルミネ横浜店長に受け渡し。

7月20日
顧客からの問い合わせで顧客データを照会する時点でUSBメモリ紛失発覚

7月28日
カネボウのシステムから再度データを複製し対応。

おそらく店舗ではカネボウの営業担当も常駐しており、顧客の購入時に自分のPC(カネボウ貸与)から顧客情報を入力していたのだと想像される。
しかし店舗が閉鎖されるにあたり、返品対応などの受付はカネボウ営業担当が応じることが出来なくなる。このためカネボウの顧客データベースから、当店に関わる顧客データを抽出し、店長にUSBメモリで渡したのであろう。

しかし店長はシステム操作の経験も浅く、そもそも店舗撤去という大作業の中、USBメモリはどさくさに紛れて紛失したのだろう。

20日。おそらく返品対応などの顧客問い合わせでUSBメモリ紛失が発覚し、カネボウから顧客データを再複製してもらい対応したと考えられる。

なぜカネボウは現場でのUSB保存を許可したのか

ゼロトラストFTAの視点では、USBメモリ紛失発生率は19.8%と高く、1年間で5社に1社が発生している。
USBメモリは持ち運びが便利であるというメリットと同じ用に紛失しやすいというデメリットがある。
企業の機密情報、特に顧客データなどは、絶対にUSBメモリへの複製を許可してはいけないのは、そろそろ企業のセキュリティ管理の常識となっているのではないかと思う。

カネボウ社の中で、どういう承認フローによって、現場の営業担当者が1万名以上の自社の大切な顧客データをUSBメモリに複製保存することを認めたのかが一番重要なところとなる。
ルミネ店店長のUSBメモリ紛失はヒヤリハットの法則で、時間の問題で起きていたと考えられる。

それよりカネボウ社は如何なることがあっても、現場担当者が顧客データ(それも1万人以上)をUSBメモリに保存することを許可しない体制が本来は必要であった。

もし業務引き継ぎで顧客データをたしろ薬品に受け渡す必要が生じたならば、カネボウのシステム部からたしろ薬品のシステム部に、きちんとデータが暗号化された状態で送信されるべきだった。


顧客データの担当者保存は絶対に禁止するべき理由

今回はたしろ薬品が紛失当事者ということで、個人情報保護委員会への報告と、謝罪文の掲載という対応をしている。
しかし企業のITセキュリティに携わる人間は、本事故の本当の原因は「自社の顧客データを現場の人間がUSBメモリで持ち出せた」というフローの穴にあることに気づいて頂きたい。

USBメモリを紛失した現場の人間に責を負わせるだけでは、この手の事故は決してなくならない。人間はどんなに努力しても紛失する時はなくすし、間違える時は誤操作をする。

そのように人間は「失くすものだ」「間違えるものだ」と信用しない前提が、本当の「ゼロトラスト」と言える。

この記事が気に入ったらサポートをしてみませんか?