横浜市、165名の新型コロナ患者の氏名 感染経路 集団名等 疫学情報を28のマスコミにFAX送信
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」7月19日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・重要情報の電子化やシステムのオープン化のメリットとデメリット
・メールで重要情報を取り扱う際のセキュリティ対策
今回の解説ニュース
FAXの誤送信が原因で、個人情報が漏洩してしまったということです。機微な情報を何らかの方法で送信する際に、セキュリティで気を付けるべきポイントについて説明します。
今回のインシデントは、新型コロナウイルスに感染した患者165名の記者発表用資料を報道各社にFAXで送信する際に、誤って患者の個人情報を含む別資料を送信してしまったもので、報道機関から連絡があり発覚したということです。社会的な混乱が落ち着かない状況で、極めて機微な個人情報が漏洩してしまったことになります。
個人情報とは、生存する個人に関する情報で、氏名、生年月日など特定の個人を識別することができる情報です。改正個人情報保護法では、指紋データ、パスポートや運転免許証などの番号も「個人識別符号」として「個人情報」にあたることが明記されました。
インシデントが発生した原因として、FAXする際は通常、ダブルチェックをしていましたが、当日はダブルチェックせずに送信してしまったということです。運用ルールが形骸化してしまった結果、本来のセキュリティ対策が機能せず、インシデントが発生してしまった今回の脆弱性は「人の弱さ」に原因があったということになります。
重要情報の電子化やシステムのオープン化について
重要情報の電子化やシステムのオープン化については、メリットとデメリットの両方があります。理由は、セキュリティは利便性とのトレードオフになる場合があるからです。具体的な内容について説明します。
インターネットやメールの利便性については説明不要ですね。ただし、最近はメールを使う機会も減ってきており、ビジネスでもチャットやSNSなどでコミュニケーションを取る人も増えてきました。
一方で、SNSを悪用したセキュリティインシデントも増えてきました。特定の組織に対して標的型攻撃を行う際に、SNSの情報から従業員と思われる人をマルウェアに感染させて、組織のネットワークへ侵入を試みる事例が発生しています。
標的型攻撃とは、特定の個人や組織を狙った極めて巧妙に作りこまれたサイバー攻撃です。攻撃者は事前に標的となる個人や組織について情報を収集するため、一般的なセキュリティ対策を行っていても、攻撃の被害を完全に防ぐことは困難な場合があります。
ちなみに、国内の重要インフラが海外と比較してサイバー攻撃の被害が少ないのは、システムがオープン化されていないことも理由の一つでもあると言われています。
その他のトピックはこちら
メールで重要情報を取り扱う際のセキュリティ対策
メールで重要情報を取り扱う際のセキュリティ対策の一つとして、DLPが挙げられます。
放送を聴かれるかたはこちら
記にしもと