オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

IPAの情報漏洩事件における処分の基準って?今後の漏洩処分の基準にならないことを願う

»

情報処理推進機構(IPA)は1月19日、同機構職員による情報流出の経過状況と対策について発表した。職員を停職3カ月とする一方、西垣浩司理事長を本部長とする「情報流出対策本部」を設置した。

この事件は、ソフトウェア・エンジニアリング・センター所属の職員が所有するPCから業務関連情報やIPA在籍以前に関係した企業の個人情報などがファイル交換ソフトウェア「Winny」のネットワーク上に流出した。

 IPAが調査を進めた結果、流出した情報はIPA関連では私的に撮影したイベントでの画像と海外出張の申請用データだった。IPA以外では、職員が以前に経営していた企業とその取引先企業10社以上に関するもの。当初は1万件の個人情報が流出したとみられたが、実際は8600件程度になる見込みだという。

 IPAは流出状況の全容がほぼ見えたとして、同日付けで職員を停職3カ月の懲戒処分に課した。処分理由は、IPAの社会的な信用を損ねた就業規則違反であるという。

 また、1月7日付けで情報流出対策本部を組織した。同本部は、職員における情報漏えいの再発防止に向けた活動推進するという。全職員に対して、私物PCでのファイル交換ソフトウェアの使用禁止を通達するとともに、職員から使用していない旨の確認書を提出させたほか、ファイル交換ソフトウェア使用による危険性を啓発する研修会を実施している。

 同本部は西垣理事長のほか、理事2人と総務部長、戦略企画部長、セキュリティセンターおよびソフトウェア・エンジニアリング・センターの両所長で構成され、今後は常設組織として運営する。会見した仲田雄作理事は、「規則の改正や技術的内容を含めて、どこまでの対策が実施できるかの検討を進め、早期に施行していく」と、今後の取り組みを説明した。

この基準ってなんだろう?・・・何をもって判断するのか? IPAでも情報漏洩ですか・・・あぁ情けない!じゃあ問題は何だったのか?もご覧下さい。

以前にヤフーBBの大量流出事件があったときに、500円/1人のお詫びをしたことが、情報漏洩事件における1つの基準となったことを思い出します。

今回のIPAの事件において、この3ヶ月の停職処分ってのが、短いのか長いのか何ともわかりません。

1.少なくとも1万6208のファイルが流出したこと。

2.以前に勤めていた勤務先の情報も流失したこと。

3.諸外国ではもっとも罪の重い児童ポルノをダウンロードしていたこと。(日本では軽すぎる)

4.ATOKなどのソフトウェアを入手したこと。

5.何よりも、IPA職員がファイル共有ソフトを使い、ウィルスに感染し流失したこと。

これらを考えると、どんなモノだろう?これが、今後の情報漏洩における処分の基準にならない事を願うだけです!

Comment(4)