情報セキュリティ講座「兵庫県尼崎市で起こった事例」を学びにしよう
ようこそ、お越しくださいました。
はじめましての方から頻繁に起こしいただく方まで、ようこそ。 どうも、えんどう @ryosuke_endo です。
このnoteでは、特に読む必要がないと感じられることかもしれないけれど、ぼくがだれかと対面して話したい”雑談”を文字化するものなので、そんな雑談にお付き合いくださる方は、ぜひ読み進めてください。
今回の話題は兵庫県尼崎市46万人余りの個人情報の入ったUSBを給付業務を受託していた業者が勝手に持ち出した上に飲食店で酒を飲み、USBが入っているかばんごと紛失したっていう笑えないけど笑えてしまうような事案を題材にしてみようかと。
情報セキュリティの教科書的な事案
企業でいう機密情報もそうですが、情報って無形だから持ち出すのも容易にできてしまいます。だからといって持ち出せるからといって持ち出していいかどうかってのは議論の余地すらありませんよね。
所属している保持している契約先だとか顧客情報をみだらに外部へと持ち出し、仮に漏洩している事実が判明しようものなら訴訟されて賠償金請求されることまで覚悟する必要があります。
この報道をご覧になって「注目した点」がどこにあるのかによって情報を扱う姿勢や態度がわかってしまいそうなものです。
この状況を箇条書きにしてみると…
兵庫県尼崎市から給付金の給付業務を受託していた業者があった
業者が市の許可を得ずにUSBBメモリーで情報を持ち出した
持ち出したデータを他の自治体でデータ移管の作業を行った
データ移管作業の終了後もデータを消去せずUSBを持参したまま飲食店で飲酒した
業者は飲みすぎた(おそらく重要な仕事を終えた開放感から、ついつい飲みすぎた)
USBが入ったかばんごと紛失した
記者会見でパスワードの桁数とヒントを露呈させた
市は市民情報を外部へ持ち出せるような状態で保管していた
これを読んでくださっている、あなたが上記で問題だと思うのはどこでしょう。ぼくは「業者は飲みすぎた」ってところが人間っぽくて好きです。おそらく、この業者も大変な情報を扱っているってことを自覚していたのかもしれませんよね。
薄々「あぁ、やっちゃダメだよな。勝手に持ち出したりしちゃいけないんだよな」とか思ったりしながら業務にあたっていたのだとしたら、無事にデータの移管作業を終えた瞬間の開放感はすばらしいものがあったのは間違いなさそうです。
そりゃー、気分も上がりまくっているものだから、ついついお酒も進んでしまったのでしょう。
気分とお腹を満たしたところでお会計…あれ?みたいな状況じゃないところがたまりません。飲みすぎた結果、路上で寝てしまった。この光景を想像しただけでも人間っぽくて仕方ないし、肩を叩きながら慰めたくて仕方ありません。確信犯として取り組んでいた可能性だって存分にありますし、業者が悪いのは一目瞭然。
市の許可も得ずにUSBに情報を抜き出しては他の自治体にあるコールセンターでデータ移管を行い、作業後もデータを消去せずに飲食店に繰り出しては飲みすぎてかばんをなくしたわけですから、責められても文句はいえません。当然です。だけど、根本的なことを考えれば抜き出せるような状態で情報を保管していた体制や仕組みに問題があるとみるべきです。
記者会見で「パスワードが英数字13桁である」点と「毎年変えている」点を暴露してしまってましたから、今回の事件は組織が情報を扱うことに際して最高の教材になったといわざるを得ません。
今回は明るみになったことで問題視されてますが、似たような事例ってそこかしこで起こってるんだろうなって思うのです。
たとえば「会社の業務を自宅に持ち帰って…」とか「自治会の会計情報を共有するために…」とか。
「ある公的教育機関と参加者たちで構成される任意団体の情報をUSBで持ち出して共有している」なんて事案を堂々と話されているのを目の当たりにした際には「おふっ…」と声が漏れたものです。
情報ってものを扱うことの重大性や責任みたいなものを軽く考えてしまうのは、訴訟リスクなどを考えられていないからなのでしょう。それにしても個人のリテラシーを仕組みでカバーできる状態を構築しなければならないよねって思うのです。
他の任意団体であろうと何であろうと関係なく、人は必ず失敗します。他人を信用しないとかそういうものではなく、失敗することを前提にして組織運営なんてものはしなければなりません。
組織マニュアルがあるのなんて失敗が起こるところを未然に防ごうとするからつくられているのであって、失敗が起こらないのならマニュアルもそうだし上司先輩からの指導なんて必要ないわけじゃないですか。
壮大なコントのような出来事ですが、決して他人ごとではないってことを自覚したいものだなぁ...っていう話題でした。
ちなみに、メルカリでUSBを出品したのはぼくではありません。
ではでは。
えんどう
紹介したいnote
中の資料が上手にまとめられているので、ぜひ多くの方にご覧になるだけでなく参考にしていただき強く情報を持つことの責任について自覚してもらいたいと思う次第でございますです。
ちょっと専門的な用語を使っていることもあり難しく感じてしまいますが、今回の尼崎市で起こった事案を照らし合わせてみると大きな学びがありますから、ぜひ市の方々は参考にしてもらいたいものです。
情報セキュリティといえばIPAだよねってのは知ってる人たちの認識です。もっと情報モラルだとかセキュリティについて認識されていくことを願うばかりですが、個人のリテラシーをどうこうするのは難しいですからねぇ…どうしたらいいのかっていうと仕組みでカバーする他にないんだろうなってのが着地点でしょう。
えんどうのTwitterアカウント
僕の主な生息SNSはTwitterで、日々、意識ひくい系の投稿を繰り返している。気になる人はぜひ以下から覗いてみて欲しい。何ならフォローしてくれると毎日書いているnoteの更新情報をお届けする。
最後までお読みいただき、本当にありがとうございます。 お読みいただき、それについてコメントつきで各SNSへ投稿していただけたら即座に反応の上でお礼を申し上げます!