9月の全国セキュリティインシデントとそれぞれの対策方法を考える
セキュリティインシデントは、国内だけでも相当な数が発生しており、その件数は増加傾向にあります。
9月も日本では公的機関や民間企業において、複数のインシデントが確認されました。どのような事件が発生したのか、そしてこのような事態を招かないためには、どのような対策を講じることが大切なのか、考えていきましょう。
群馬県で発生した個人情報の誤送付
9月21日、群馬県では手話通訳者の個人情報がメール誤送付によって外部に流出する事故がありました。聴覚障害者向け施設職員が、手話通訳者103名にメールを送信したところ、後ほど115名分の手話通訳者のファイルも誤って添付してしまったということです。
ファイルには通訳者の氏名や登録番号などが記載されており、事件は通訳者からの連絡によって発覚しました。
ヒューマンエラーにより誤送付が発生した事例であることから、厳正なファイル管理の実施を求めたいところです。
千葉県の組合にて個人情報の誤公開
千葉県印西市では、9月に環境整備に携わる組合にて個人情報を誤ってホームページに掲載してしまうインシデントが発生しました。
同組合では会議録をWebサイトに公開していますが、掲載許可を得ていない、参加している委員の氏名も合わせて公開されてしまったという事件です。
委員会の指摘を受けて判明したこのインシデントでは、個人情報の記載がない前提で会議録を作成していたものの、今回分に限っては個人情報が記載されていたことから、担当者が見逃してしまったとしています。
幸い、掲載された個人情報は委員の担当地区と氏名のみが掲載されており、住所の特定などに至るような情報は含まれていないとのことです。
ただ、仕様変更にともないヒューマンエラーが発生したというのは、この組合に限らず、どこの組織でも起こりうる事件であることから、教訓とすべきインシデントと言えるでしょう。
大学法人における論文改ざん被害
東海地方で組織された国立大学法人が運営する研究者向け交流サイトにおいて、論文の改ざんが行われたことが判明しました。外部からの通報に基づき調査を行った結果、悪意のあるコードを含んだファイル作成の痕跡が確認されたということです。
ファイル作成の動機については明らかになっていませんが、ログイン情報を使った不正アクセスなどが行われていた場合、データベース上の情報が流出してしまった可能性もあることから、被害の規模が見えない恐ろしさをはらんだ事件でした。
同組織では被害を受けたと思われるサイト登録者への連絡と悪意あるプログラムの削除、そしてセキュリティの強化を進めているということです。
所属に縛られることなく、自由に研究者同士で交流できることを目的としたサービスでしたが、このオープンマインドさが裏目に出てしまった結果と言えるでしょう。
委託先企業で個人情報掲載のリスト誤送信、大阪
大阪では、市が委託している研修センターにおいて個人情報を掲載しているリストを誤って送付する誤送信事故が発生しました。
研修受講者に受講票を送付する際、送付の必要がない個人情報を掲載したリストも添付してしまい、受講者41名分の氏名や電話番号、資格などが拡散されてしまったとのことです。
神奈川県にて第三者に個人情報の誤送信発生
神奈川県においても、同時期に大阪で発生したものと同様の誤送信インシデントが発生しています。県が委託している研修先に対して、研修参加者の個人情報を第三者へ誤って送付してしまう事件です。
誤送信した資料には参加者の氏名や生年月日、性別などが記載されており、委託先からの報告で明らかとなりました。誤送信先には別途連絡をいれ、メールの削除を要請しているということです。
個人情報をどれだけ厳重に管理していても、情報共有の際に手違いで送信してしまうことにより、いとも簡単に情報は流出してしまいます。手違いが起きるリスクを限りなく小さくできるよう、仕組みづくりを積極的に進めるべきでしょう。
重大事件を防止するべくヒューマンエラー回避の徹底を
セキュリティインシデントの発生は、外部の悪意ある攻撃によってもたらされるものが一般的です。しかし、ヒューマンエラーによって発生するインシデントも無視できるものではなく、国内で、しかも1ヶ月程度に期間を絞ったとしても、これだけの事故が発生しています。
人間がミスをゼロに抑えることは不可能である以上、考えるべきはヒューマンエラーがそもそも起きないような仕組みづくりの整備です。人の手を介する業務を限りなく減らすことにより、高度な業務の効率化を進められるよう環境を整えましょう。