不要となった情報資産の適切な取り扱いとその管理について
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」11月7日の放送内容を一部抜粋しご紹介します
今回の解説ニュース
約20年前に導入したパソコンが行方不明になってしまったということです。不要になった情報資産の適切な取り扱いや、大量の情報資産を長年にわたって保持する際に、紛失しないための対策について説明します。
今回のインシデントは、同社社員が、2005年ごろに導入したノートパソコンのリース契約更新をしようとした際に紛失が判明しました。当該パソコンの使用用途と所在について調査したところ、従業員証作成ソフトがインストールされており、ソフト用データとしてテナント従業員の個人情報が保存されていた可能性があるということです。原因として、従業員証は2013年以降は別のパソコンを使用し作成しており、組織変更や執務場所の変更等があった過程で当該パソコンが2013年以降に紛失したと推測されています。
対策として、同社では個人情報保護委員会に報告しており、現在入居のテナントに対しても、謝罪と経緯説明の書面を送付しています。再発防止策として「パソコンの稼働状況、および保存情報の所在についての定期的な確認」「セキュリティワイヤーの使用等によるパソコンの盗難・不用意な移動の防止」「パソコン端末の廃棄の際には外部業者によるソフトウェア消去、電磁破砕消去、破壊消去等を行うとともに、消去証明書を受領」するということです。
利用の役目を終えた社用PC、求められる対処は?
パソコンなどの情報資産は、資産管理を行ったうえで、不要になったデータは適切に破棄することが求められます。
例えば、皆さんも機種変更した際に使わなくなったスマートフォンをお持ちではないでしょうか。使わなくなったスマートフォンに何も対策をしていなければ、個人情報が保存されたままです。そのまま中古として売ってしまうと、誰かにデータを見られてしまうかもしれません。また、使わなくなったからと言って適当に保管していると、どこに行ったか分からなくなってしまって、結果として保存されたデータごと誰かの手に渡ってしまうかもしれません。
組織で保持しているパソコンも同様で、使わなくなった情報資産やデータは適切に破棄することが求められます。具体的には、まず、どのような情報資産が組織に存在しているか台帳管理を行います。次に、その情報資産が確かに存在していることを定期的に確認します。そして、その情報資産が不要になった際は、データが確実に消去されていることを確認した上で、必要に応じて破棄を行います。
今回のインシデントでも、再発防止策として「パソコンの所在についての定期的な確認」と「パソコン端末の廃棄の際に外部業者による消去」が挙げられています。
その他のトピック