プロジェクトオーガナイザの吉田聖書です。
11月13日に、一般財団法人 日本情報経済社会推進協会(JIPDEC)がプレスリリースを出しまして、今年8月に発覚したプライバシーマーク(Pマーク)審査資料の漏洩事故についての顛末や再発防止策等を公表しました。
【お詫び】プライバシーマーク審査関連資料の漏えいについて(第2報)(2023/11/13 一般財団法人日本情報経済社会推進協会)
この事故は、発生当時は情報が少なかったのでこのブログでは採り上げなかったんですけれども、ここにきて詳細な情報が明らかにされました。JIPDECというと思い出すのが、3年前に当時の平井デジタル改革担当大臣が「霞が関ではファイルを暗号化してメールで送ることをやめる」と発表したタイミングで、「パスワード付きファイルのメール送信は以前から推奨していない」と弁明して世間を驚かせたのがJIPDECです。
まず、事故が発覚した経緯は、Pマークを取得している企業からの通報です。なんと自社についての情報が書かれたファイルがインターネット上でだれでも閲覧可能な状態になっているということでした。情報漏洩したのはJIPDECではなく、JIPDECがPマークの審査を委託していた個人の審査員だったということです。漏洩した資料の中には、その審査員が2005年から実施したPマークの審査に関するものが含まれていたということです。さすがに新卒で社会に出てから18年間ずっとPマークの審査員だけしかやったことがありませんという人はいないと思いますので、かなりのベテランだと思われます。
影響範囲ですが、漏洩の可能性がある企業が900社弱、審査員の名簿が700件弱ということで、ものすごい大きいかというとそうでもないですが、一人の個人からと考えるとそこそこ範囲が大きいと考えて良いか思います。
発生原因ですが、まず、直接的な原因として、事故を起こした審査員が個人所有のストレージ(NAS)に審査関連の資料を保管していて、ストレージのセキュリティ設定が不適切だったために、それらの資料がインターネット上で公開されてしまっていたということです。これはやってしまった感じですね。
そして根本的な原因としては、そもそもJIPDECが審査員個人所有のパソコンを使って審査業務を行うことを認めていたということです。原則はJIPDECから審査員に審査業務で使用するパソコンを貸与しているそうなのですが、審査員が事前に申請し、かつJIPDECが許可すれば個人所有のパソコンを使っても良いというルールでした。その代わり、審査業務で作成あるいは利用した資料については、審査業務の委託契約期間が終了したら破棄するというルールになっていたようです。
しかし、そこに大きな落とし穴がありました。実際には、問題の審査員は、事前に申請していたのとは異なるパソコンを利用していたようです。そして、委託契約期間が終了した後も審査業務に使用した資料を削除せず、ずっと保存していました。個人所有のパソコンを使用に関する規定が、審査員の善意に基づいたものとなっており、実際にはザルだったということです。
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
プレスリリースによると、再発防止策としては、まず個人所有のパソコンを審査業務に使うことを禁止しました。これは当然の措置だと思います。しかし、それだけだとルールを変えただけですので、それがきちんと守られているかどうかを監査するということです。これも当然と言えば当然だとは思いますが、今まで全くやってこなかったのだとしたらコストが増えるということになりますね。
それらに加えて、JIPDEC以外にもPマークの審査業務を行っている審査機関があるようですので、それらの審査機関に対しても同等の対策を求めていくということです。
「紺屋の白袴」とか「医者の不養生」という諺があります。他人のためには一生懸命働いて、自分のことには手が回らないという意味ですが、まさにこの諺が当てはまる事例と言ってよいかと思います。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。