持ち出したUSBメモリを帰宅途中で紛失

2022年6月、市の委託先の関係社員がコールセンターでのデータ移管作業のため、必要な情報が記録されたUSBメモリを持ち出しました。移管作業完了後は飲食店に立ち寄り、路上で寝込んでしまった後、帰宅途中でUSBメモリの入った鞄を紛失していることに気づきました。USBメモリには、全市民の住民基本台帳の情報（46万517人分）、住民税に係る税情報（36万573件）などが含まれていました。

市の許可を得ずにデータを持ち出し

市の発表によると、委託先の関係社員は、USBメモリでデータを持ち出す際に事前に市の許可を得ていませんでした。また、持ち出しの都度許可が必要なことを市側も徹底していなかったということです。さらに、委託先との契約時に、やむを得ない場合でも作業完了後の速やかなデータ消去を求めていましたが、委託先は社員に明確に指示していませんでした。

不正持ち出しはシステムによる対策が不可欠

今回の問題のポイントは2つあります。1つ目は、データを持ち出す際には許可が必要、というルールはあったものの、守られていなかったことです。ルールを守るのは「人」である以上、ヒューマンエラーや悪意を持った関係者による内部不正を100%防ぐことはできません。そのため、許可がなくても持ち出せてしまう仕組み自体がそもそも問題といえます。2つ目は、パスワードだけに頼ったデータ保護の限界です。紛失したUSBメモリにはパスワードがかけられていましたが、設定や管理が甘ければ見破られるリスクが高まります。

より強固に情報漏洩を防ぐためには、人やパスワードのみに依存しない、システムによる対策強化が必要不可欠といえるでしょう。

個人情報の「自動検出」で持ち出し対策

ALSIの外部デバイス管理「InterSafe DeviceControl」「InterSafe WorkFlow」は、ファイルの持ち出しをワークフローで管理できます。持ち出す際は管理者に申請し、承認されれば許可されたデバイスで一時的に持ち出せる仕組みです。このとき、持ち出すファイルに含まれる個人情報やマイナンバーを自動で検出することができます（個人情報検出オプション「InterSafe PIS」）。個人情報やマイナンバーが含まれていない場合は持ち出しが自動承認され、含まれていた場合は管理者に通知し、承認後、持ち出しが許可されます。人の目だけに頼らないチェック体制により、ヒューマンエラーを防ぎ、不正なデータ持ち出しをより強固に防止します。

また、持ち出したファイルの原本は管理サーバーに保管され、ログも記録されるため、誰がいつどんなファイルを持ち出したのかがわかり、監査証跡としても有効です。

「脱」パスワード依存の紛失対策

USBメモリの紛失対策に有効なのが、セキュリティUSBメモリ作成ソフト「InterSafe SecureDevice Ultimate」です。用途に応じて5つのセキュリティモードを選択でき、「社外利用禁止モード」では、エージェントプログラムが未導入のPCではセキュリティUSBメモリを一切利用できなくなります。暗号化は高強度のAES256bit方式が採用されているため、万一紛失した場合でもデータを読み解くことはできません。

エージェントプログラムを導入したPCでは、パスワードに加えて認証失敗回数の上限を設定できるため、総当たり攻撃による突破リスクは大幅に低減されます。さらに、有効期限超過後にUSBメモリ内のデータを強制消去する設定も可能。作業者任せではない、確実なデータ消去を実現します。

オールインワンの情報漏洩対策で万一に備えた対策を

ご紹介したソリューションはいずれも情報漏洩対策シリーズ「InterSafe ILP」のラインナップ製品として提供しています。一緒にご利用いただくことで、持ち出しデータの制御から持ち出し後の安全担保までを一元管理できます。

今回のケースでは幸いなことにUSBメモリが発見され、情報漏洩は確認されませんでした。しかし、不注意や管理ミス、さらには悪意を持った不正行為など、運用ルールを定めるだけでは解決できない様々なセキュリティリスクが存在します。万一の事態に備えてシステムによる万全の対策を整備しておくことが肝要です。

※本記事は、2022年6月30日時点の各社報道に基づき作成したものです。