プロジェクトオーガナイザの吉田聖書です。
3月15日に、西日本高速道路株式会社(NEXCO西日本)がニュースリリースを出しまして、個人情報が保存されていたかもしれないUSBメモリを紛失したと発表しました。
個人情報が保存されていた可能性のある記録媒体の紛失についてのお詫び(2024/3/15 西日本高速道路株式会社)
それに気づいたのが今年の2月13日ですから、発表の約1か月前ですね。NEXCO西日本の社員がUSBメモリが見当たらないことに気づいて、すぐに周辺を探したんですが見つからず、今のところ発見されたという続報は発表されていません。そしてこのことを3月11日になって個人情報保護委員会に報告したと書かれています。
そのUSBメモリには、原因者負担金と言って事故で道路をダメにした人に弁償してもらうそうなんですが、その手続きの対象者191名分の住所と氏名が保存されていた可能性があるということが、社内システムの解析の結果から判明しているとのことです。
で、あろうことか、USBメモリそのものは暗号化されていたものの、暗号を解除するためのパスワードがUSBメモリの本体に貼り付けられていたそうで、暗号化の意味が分かっているのかと疑いたくなるような運用状況だったことが露呈されてしまいました。
被害件数の多寡で事故を評価すべきではないとは思いますが、過去には900万件という漏洩事故もありましたから、それに比べてしまうとどうしてもインパクトしては小さく感じてしまいます。でも、こういったヒューマンエラーは影響が小さいからまあいいだろうと軽く考えて根本的な対策を打たないと、そのうち大きな事故につながるリスクがあります。
このニュースリリースを読むと、きっとこの会社はそのうち大きなセキュリティ事故を起こすだろうなと感じます。というのも、再発防止策として「社員教育の徹底」しか挙げていないからです。それは何も社員教育が無駄だと言っているのではありません。社員教育は必要だけれども、それでヒューマンエラーは防げないということです。
現場の状況は書かれていないので分かりませんけれども、そもそも何故USBメモリを使う必要があるのかということです。考えられるケースとしてはセキュリティを考慮して業務システムがインターネットに接続されていない可能性があります。だから業務システムから必要な情報だけを抽出してUSBメモリに保存し、それを例えば送付状を作成するためにインターネットに接続されている端末にコピーしているのかもしれません。
基幹システムがインターネットに接続されているとサイバー攻撃のリスクがあるからという理由でUSBメモリでのデータ移送を決めたのだとしたら、紛失のリスクを全く見落としていたか、データ全部が抜かれるよりは、最小限の漏洩で済む方がマシだという天秤にかけて判断したのかもしれません。
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
そもそもパスワードをUSBメモリに貼り付けていなければというのはあります。特定の端末に限りパスワードなしで暗号解除できるような暗号化ソフトウェアもありますので、そういうソフトウェアを導入すればUSBメモリをより安全に運用することができます。いずれにせよ、人間の努力に頼る対策は対策ではありません。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。