情報漏えいニュースの考察～紛失・置忘れによるインシデント編～

デジタルトランスフォーメンションが進み、様々な情報をデジタルで管理するようになりました。その一方で、デジタル情報の中には、クレジットカード、住所、パスワードなどの個人情報が記載されていることが多く、企業は取り扱いに特に注意を払う必要があります。

NPO日本ネットワーク協会が調査した「2018年 情報セキュリティインシデントに関する調査報告書」（によると、「紛失・置忘れ」が情報漏えいの発生原因の中でワースト1位という報告があります。

情報漏えいの多くはヒューマンエラーが原因で発生していることがわかります。本記事では、紛失、置忘れへどのように対策をすべきか紹介します。

「紛失・置忘れ」による情報漏えいとは

紛失、物忘れにおける情報漏えいとは、電車、バスなど様々な場所でPCなど個人情報や機密情報が保存されているデバイスを紛失をしてしまうケースです。

交通機関での紛失

PC、書類などの忘れやすい場所として、電車、バス、タクシーなどが考えられます。電車やバスでは、紛失した時点で駅職員がPCを発見できないケースが多く、最悪の場合、PC、書類など持ち去られてしまう恐れがあります。

PCなどモバイル端末はパスワードをかけることで使用制限が可能ですが、パスワードをかけていないPCは、簡単に第三者がチェックできてしまうので、注意が必要です。

飲食店での紛失

会食に参加し、帰り際にPCが入ったバッグなどを置き忘れて帰ってしまった事例もあります。お店の人がすぐ見つけることができれば問題はありませんが、場合によっては他の客に持ち去られてしまう恐れがあります。

その他様々なところでの置忘れ

その他に様々なところでの置忘れによる情報漏えいも少なくありません。電車の網棚、喫煙所、スーパー、書店…どこに置忘れたか場所を特定できないことも考えられます。場所によっては、紛失したPCや書類が発見されないこともあります。ヒューマンエラーの中では特に注意をしなければならないケースです。

紛失・置忘れによる情報漏えい事例

実際に発生した事例をもとに、何が問題なのかを整理していきます。

事例1： 業務用PCを電車内に置忘れる

大手Webシステムサービスを提供する会社の社員が、業務用のノートPCを入れた紙袋をそのまま電車内に置忘れたという紛失事件が発生しました。

18時50分頃に紛失したことに気づき、駅の遺失物センターに連絡。その後21:43〜21:58分頃にアクセス可能なアカウントの停止処理をおこないました。

翌日にPCが発見され、セキュリティチームが解析をすると、PCにはパスワードを入力せずにログインが可能であったこと、第三者がPCに複数回にわたり不正ログインしていたことがわかりました。

事例2：溶解廃棄処理会社、書類紛失

2017年、公共放送の支払い帳票の溶解処理を委託した業者が、約3300枚もの帳票を紛失していました。処理依頼した段ボールは4809箱。そのうち1箱分を紛失。書類の一部は、道路で発見され、不正利用の疑いはないものの、一歩間違えればクレジットカードや個人情報の不正利用につながる可能性がありました。

事例3 ：レストランを経営する会社がPCを紛失

ハワイアン料理などを手掛けるサービス業の会社社員がPCの入った鞄を小売店におき忘れ、PC内に記載されていた顧客情報約6万7280件が漏えいした可能性があると発表されました。

これらの事例を確認すると、ほんのささいな紛失・置忘れというヒューマンエラーで情報漏えいが簡単に起きていることがわかります。

「紛失・置忘れ」による情報漏えいの考察

紛失・置忘れなどによる情報漏えいを防ぐためには、どのようなことに気をつければ良いのでしょうか。なぜ情報漏えいが防げないのか問題点を整理しましょう。

情報漏えいがなぜ起きてしまうのか、会社によってさまざまな原因が考えられます。その中でも、紛失による情報漏えいでは次のような原因が考えられます。

社員教育が浸透していない

日本では、まだまだ情報漏えいのリスクについての認識が希薄だと言われています。「情報漏えいが起こることで、どのような損害を顧客に与えてしまうのか」「情報漏えいによって企業の信頼はどの程度失われるのか」というリスクを本当の意味で理解していないことで、機密情報が入った端末などを持ち歩く際に、注意力が希薄になり、ヒューマンエラーが発生してしまう恐れがあります。

機密情報の管理に気をつけていても、人間はミスをする可能性があります。その意識が低ければ、ミスの危険性はさらに高まります。まずは、重要な情報を管理することの大切さを社員1人1人が意識を持つようにする必要があります。

セキュリティ対策措置の甘さ

紛失などで情報漏えいが発生してしまう背景には、セキュリティ対策がしっかりとなされていない場合も少なくありません。万が一紛失しても、情報漏えいが起きないように、日頃から、パスワード設定、データの暗号化、セキュリティ関連ソフトの設置などでリスクを回避できるケースもあります。

企業が機密情報や個人情報に対して、どのようなセキュリティ対策を講じるかも重要になります。

解決手段として

情報漏えいを対策するために、次のような対策を講じることで、リスクを軽減することが可能です。

情報セキュリティに対する徹底教育

ヒューマンエラーを防ぐためには情報セキュリティ対策を徹底する必要があります。新人・若手社員やデジタル機器の扱いが不慣れなベテラン社員だけではなく、全社的に徹底した情報教育が重要になります。

IPA（独立行政法人情報処理推進機構セキュリティセンター）の「情報漏えい対策のしおり」では、以下の内容が提唱されています。

1. 企業(組織)の情報資産を、許可なく、持ち出さない
2. 企業(組織)の情報資産を、未対策のまま目の届かない所に放置しない
3. 企業(組織)の情報資産を、未対策のまま廃棄しない
4. 私物(私用)の機器類(パソコンや電子媒体)やプログラム等のデータを、許可なく、企業(組織)に持ち込まない
5. 個人に割り当てられた権限を、許可なく、他の人に貸与または譲渡しない
6. 業務上知り得た情報を、許可なく、公言しない
7. 情報漏えいを起こしたら、自分で判断せずに、まず報告

こうした内容を社員全員に浸透させることが必要になります。

仮想デスクトップなどの利用

PCのローカル上でデータを管理するのではなく、クラウド上の仮想デスクトップサービスなどを利用することで、PCを紛失してしまい人の手に渡ったとしても、情報が流出する可能性は低くなります。

リモートワイプの活用

どのような対策を講じても、情報漏えいがなくなる可能性はゼロではありません。情報漏えいが発生してしまった場合に備え、リモートワイプの環境を整備しておくこともリスクを軽減させる一つの方法です。

リモートワイプは、モバイルPCの盗難、紛失をした際に遠隔操作で該当のPC内のデータを消去したり、ロックしたりすることが可能です。リスクが発生してしまった場合の手段として、企業のデータ流出を防ぐうえで欠かすことができない手段であると言えるでしょう。

まとめ

紛失、置忘れによる情報漏えいを防ぐために、社員に対する意識改革はもちろんのこと、紛失が発生した場合、会社側がどのような対策をして情報漏えいを防ぐか、会社側も対策をしっかりと行うようにしましょう。