パソコンの紛失と盗難~その時に企業がとるべき対応とは~

ノートPCの持ち出しを許可する企業が多くなった反面、「PCが入ったカバンを電車に置き忘れてしまった」、「電車で寝ている間に盗まれてしまった」など、外出先においての紛失や盗難の事故は後を絶ちません。

2017年は386件の情報漏えい事故が発生しており、1番多いのが誤操作で、続いて多いのは紛失・置き忘れによるものだと発表されました。調査結果を見てみると、以前と比べ盗難・紛失の件数が増えており、リスクがどんどん高まっていると考えられます。

参考:NPO日本ネットワークセキュリティ協会「2017年情報セキュリティインシデントに関する調査報告」

仕事で使っているノートPCには、お客様の個人情報や機密情報、メールのやりとりなどが大量に保存されている場合が多いと思いますが、盗難・紛失が発生してしまった場合、これらの情報はどうなるのでしょうか。

盗難・紛失したPCには、パスワードが設定されているので「個人情報の流出の可能性は極めて低い」と考える方もいると思いますが、絶対に情報が流出しないとは断言できません。そして、パソコンの盗難・紛失が発生したことにより企業の信用はなくなり、経営自体が危うくなるケースもあります。

今回は、パソコンの紛失や盗難に遭った場合に企業がどうなるのか、どう対応すべきかなどを考えていきたいと思います。

 

目次

  1. パソコンの紛失と盗難の被害にあった際、何が起こるのか
  2. 2018年のパソコン盗難・紛失の事案
  3. 盗難・紛失が発生した場合の企業の対応について
  4. まとめ

 

パソコンの紛失と盗難の被害にあった際、何が起こるのか

所持していたノートPCが盗難・紛失が発生した場合でも、その後、何事もなく見つかった場合には問題ありませんが、必ずしも見つかるケースばかりではありません。悪意ある第三者に拾われてしまう可能性もあります。もし、その場合に何が起こるのかを考えてみましょう。

 

・不正利用

2014年には、大手教育事業を運営しているベネッセにて、約2,900万人の個人情報の流出が発覚しました。

会員登録をしている各家庭に全く関係のない企業からダイレクトメールが届くとの問い合わせがあり、流出が発覚しました。本件はパソコンの盗難・紛失ではなく、個人情報を不正に持ち出したことが原因ですが、持ち出された個人情報は名簿業者に売却され、さらに転売が繰り返し行われていたことにより、ベネッセの登録ユーザーに、無関係な企業からダイレクトメールが届くという事態となりました。

 

・ブラックマーケットでの取り引き

インターネットの普及により窃取された個人情報のデータは「ディープWeb」や「ダークWeb」と言われている、GoogleやYahoo!などの検索エンジンには引っかからないネットワークで取引されています。

また、窃取した情報や不正なツールの売買を行うアンダーグラウンド・フォーラムでは、2億件以上の日本人の個人情報が取引されていたことが確認され、値段は約1万7,000円で取り引きされていました。

取り引きされていた個人情報データは、国内のwebサイトから窃取したデータの他、情報漏えい事故で流出した個人情報データも含まれていたことが確認されています。

参考:日本人の個人情報2億件以上が含まれたファイルを 中国の脅威アクターが販売目的で広告掲載

 

ブラックマーケットでは、メールアドレスやパスワード以外にもクレジットカード番号やセキュリティコード、住所、電話番号など様々な情報が出回っており、社会保障番号や健康保険番号など簡単に変更が出来ないものは取引価格が高いと言われています。「秘密の質問」でよくある「母親の旧姓は?」「ペットの名前は?」なども出回っています。

2018年サイバー犯罪者のショッピングリスト(盗まれた個人情報の闇市場価格)

 

・リスト型攻撃

リスト型攻撃とは、流出したメールアドレスやID、パスワードを利用し、不正ログインを試みる手法です。

他社サービスから流出したID・パスワードを利用している可能性が高く、パスワードの使いまわしが原因の1つではありますが、1度メールアドレスやパスワードが流出してしまうと、この攻撃の被害に遭う可能性が高くなります。ダークウェブで取り引きされていたパスワードの一部はハッシュが解除され平文に戻されている他、メールアドレスとは別に流出したパスワードを検索できるサービスが提供されています。

盗難・紛失されたノートPCで、利用しているインターネットにクレジットカード情報や登録しているサイトのID・パスワードを登録し、自動ログイン設定している場合、不正利用される可能性が高くなります。

 

2018年のパソコン盗難・紛失の事案

2018年も多数のパソコン盗難・紛失の事故が発生しました。

 

2018年3月、名古屋市大学病院と大垣市民病院は、名大病院研究生の医師が約3,000人分の氏名、生年月日、検査データなどの患者情報が含まれたノートPC及びUSBメモリが盗難被害にあったことを発表しました。同医師はゲームセンターでゲーム中に足元にノートPCが入ったカバンを置いており、ゲームに熱中していて盗まれたことに気づかなかったそうです。

2018年6月、格安航空会社は、女性社員が、乗客の氏名やパスポート番号が含まれたノートPCが入ったカバンを盗難されたことを発表しました。同社員は、自転車の前かごにカバンを入れていましたが、何者かにひったくられ、現在も発見には至っていません。

2018年12月、ポーランドで行われた国連気候変動枠組み条約第24回締約国会議で、日本政府代表団がノートPC及びUSBメモリを紛失していたことを環境省が発表しました。紛失したノートPC及びUSBメモリには、他国との会談記録、政府関係者のメールアドレスが保存されていたとのことです。

また、2019年になってからも、すでにパソコンの盗難・紛失の事故が発生しています。

3月上旬には、講談社社員が名刺情報などの個人情報が含まれるノートPCを都内を移動中にどこかに置き忘れ、紛失しました。後日、所轄の警察署より発見された旨の連絡を受け、本人のもとに戻ってきました。当該PCが不正使用された形跡は確認されてないそうです。

 

今回発表した事故の他にも、多数のパソコンの盗難・紛失事故が発生しています。原因は様々ですが、どこかに置き忘れたことによる紛失・盗難など、ほとんどヒューマンエラーが原因であることが考えられます。

 

盗難・紛失が発生した場合の企業の対応について

まず、盗難・紛失が発生してしまったら、当人が速やかに会社へ報告を行うことが最も大切です。

いつ・どこで・なぜ発生したか、理由などの情報、パソコンに保存されている個人情報や機密情報などを洗い出し、予想される二次被害、PCにはどのようなセキュリティ対策が実施されていたのかを確認しましょう。

 

企業が社員から報告を受けて、企業が行うべきことは、

・被害者に対しお詫びと説明 ・HPへの掲載

被害者へ個別に謝罪と事情説明を兼ねたメールや手紙をお送りします。また企業のHPにも謝罪と盗難・紛失の経緯や現在の状況について公表を行います。相談窓口を設置する企業もあります。

 

・関係各所へ連絡

紛失・盗難した場所に問い合わせを行い、警察へ遺失届、被害届や紛失届などの届け出を行いましょう。

企業は被害者への損害賠償費用等が発生する可能性が高く、また情報漏えいが発生した企業とみられ、社会的信用がなくなります

 

・盗難・紛失にあった従業員への処分

企業側が、従業員に対して与える処分は企業により様々ですが、解雇や懲戒処分などが検討されます。会社から支給されたノートPCを盗難・紛失した場合に報告する義務がある場合、報告をせず黙ったままでいれば、規則に反したとみなされる可能性も高いでしょう。

 

まとめ

ノートPCの持ち出しを許可するということは、企業にとっても従業員にとってもメリットがたくさんあります。企業側は盗難・紛失のリスクがあることを考え、セキュリティ対策を設定させること、持ち出しをする従業員は、常に個人情報などの重要なデータが入っているパソコンを持ち歩いているということを常に意識をすることが大切です。

あわせて読みたい

お見積・無料お試し








製品・コラム





フルワイプに対応したエンドポイントセキュリティ・TRUST DELETE prime
遠隔データ消去ソフト TRUST DELETE Biz
SMS Push遠隔消去ソフト TRUST DELETE Bizパナソニック版
VAIO PC向け遠隔消去情報漏えい対策ソリューション
FUJITSU 在宅勤務・テレワーク向け遠隔データ消去ソリューション
管理サーバーデバイス監視ソシューション TRUST DELETE OP
モバイルデバイス監視ソフト OneBe UNO
外部指紋認証モジュール OneBe TID
ホイールパッドユーティリティ WheelPad Touch
指紋認証連携 不正利用防止ソリューション UNO Touch

エンドポイントの
情報漏えい対策を考えるコラム

2019.09.14
業務効率化を図るための手法とポイント
近年、企業では、「働き方改革の推進による作業時間の削減」、「労働力を補うために作業時間の捻出」といった理由から業務効率化の重要性が増しています。人材不足の問題は今後より一層深刻になると予測され、生産性......
2019.08.31
女性が活躍する企業の取り組み
第2次安倍内閣の最重要課題のひとつである「すべての女性が輝く社会づくり」が推進されて数年が経ちますが、女性が活躍する企業の取り組みは、現在、どのようになっているのでしょうか。   女性の仕事......
2019.08.16
ペーパーレスのメリットと企業が導入するための3つの方法
文書を電子化することで、印刷にかかるコスト削減や文書類を保管するためにかかる時間と空間的な負担を軽減するために始まったペーパーレスの動きは、2010年以降の急速なクラウドやストレージ技術の進歩により大......
2019.08.12
情報セキュリティにおける社員教育の大切さ
不正アクセスの手段は巧妙化しており、セキュリティ対策の重要性が増してきました。また、重要なデータが入ったノートパソコンを持ち歩くことも多くなり、置き忘れや盗難などのリスクも高まっています。こうしたなか......
2019.07.14
社員のモチベーションを上げる方法|押さえるべき3つの要素
社員のモチベーションが高まると、以下のメリットが得られます。 仕事のクオリティがアップ 会社の成長につながる 職場全体の雰囲気が良くなる 定着率が上がる 自然とワークライフバランスが良くなる このよう......