知って得するセキュリティのはなし その167
全尼崎市民46万人の個人情報収めたUSBメモリー、一時紛失
1.このニュースをザックリ言うと
- 6月23日(日本時間)、兵庫県尼崎市より、同市全市民分の個人情報等を記録したUSBメモリーが紛失したと発表されました。
- USBメモリーに保存されていたのは、同市民460,517人分の住民基本台帳の情報(統一コード、氏名、住所、生年月日、性別等)の他、住民税に係る税情報360,573件、2021年度・2022年度分の非課税世帯等臨時特別給付金の対象世帯情報のべ82,716世帯分および生活保護・児童手当受給世帯のべ86,026件分とのことです。
- 同市から委託を受けていたBIPROGY社(以下B社)の協力会社の社員(後日協力会社からの再委託先の社員と発表あり)が業務のためデータをUSBメモリーに保存した後、それをかばんに入れたままB社社員らと飲食し、泥酔してかばんとともに紛失したとされています。
- USBメモリーのデータは暗号化されパスワードがかかっており、後かばんとともに発見されたことが同24日に発表されています。
2.執筆者からの所感等
- B社が協力会社に依頼してデータを持ち出させた時点で市に必要な許可をとっておらず(データ処理に関する許可はとっていたものの、USBメモリーに保存することについての許可は得ていなかったともされています)、実際には協力会社のさらに再委託先が関与していたこと、USBメモリーの扱いについても、正副2本の両方を持ち歩いていた・データをすぐに消去しなかった(強力なパスワードで暗号化されている限り直ちに問題とはならないでしょうが、パスワードのヒントとなり得るような情報が記者会見で明かされたともされています)等、多数の問題点が指摘される事案となっています。
- USBメモリーについて、紛失やそれ以前にUSBメモリーにデータを保存することが可能な設定であることのセキュリティリスク、あるいはマルウェアを拡散させる手段として攻撃者に悪用される場面も多いことは長年指摘されており、さらには業務上データの持ち出しにUSBメモリーを必要とするような周辺環境の事情(オンラインでデータの転送等ができない等)が逆説的にセキュリティリスクの増大を招いているといった指摘もなされ、(USB接続によるストレージ全般を含め)使用を停止する企業も出ているという状況です。
- ともあれ今回のような事案においてどのような問題があったかを挙げ、それぞれがあらゆる条件のもとで問題となり得るか、周辺の状況次第でカバーし得るものだったか、どういった策によって解決・回避し得るかの分析が行われることにより、企業・組織においてとられるべきセキュリティ対策が改めて意識されることを願いたいものです。