全市民46万人分のUSB紛失から考える"絶対ダメな部分"と自分でする最低限のセキュリティ
最初このニュースを見たときに、全市民46人って随分と人数の少ない市だなぁ...と思ったのですが、えっ?46万人?なんですね。
セキュリティの教科書に載せていいほどの事例なので、経緯からセキュリティ上絶対ダメなことと、最低限できる部分は自分でしよう!なことをまとめてみました。
尼崎市、全市民46万人分の個人情報入りUSB紛失 委託先関係社員が飲食店でなくしたか
兵庫県尼崎市は6月23日、臨時特別給付金の支給事務にあたっていた委託先「BIPROGY関西支社」(大阪市)の関係社員が、全市民46万人分の個人情報が入ったUSBメモリを紛失したとして謝罪した。USBメモリにはパスワードと暗号化をかけており、23日時点で情報の漏えいは確認されていないとしている。
個人情報の内容は、住民基本台帳の情報、住民税に関する情報(8万2700世帯分)、生活保護受給世帯・児童手当世帯の口座情報とセンシティブな情報が含まれているようです。
①USBメモリーの使い方
USBを使えるか?使っちゃダメか?は、何とも言いようがありません。使わないでいいならば or 使っちゃダメならば、入れ物としてUSBが無かっただけで、結局なにかの入れ物か方法によってしか、データの授受はできません。
便利なことも多くあるので、あくまでも個別のルールとか、会社側の決め事と考えています。
今回問題だったのは、その後の処理方法です。入れ物(コンテナ)と中身(コンテンツ)の中身が無ければ、紛失したとこで単なる入れ物です。
⇒ 普通に削除しただけじゃ簡単に復元出来ます。えっ?いや普通に戻りますよ。だから完全に抹消しましょう。フリーツールだとこんなのとか他にも色々あります。パッケージ版だとこのへんですかね。いずれもデータの記録されていた場所を完全に上塗りするので、単なる入れ物に戻るだけです。
②メモリー持って無くても
下戸なもので、酔っ払った感覚がまったくわかりません。記憶がなくなるまで飲みたいのなら...とか、そういうことが偶にあるならば、普段から気をつける以外に、誰にも止められません。自分以外、毎日の行動まで、瞬間の飲酒量まで誰も把握してませんから。こういうことも、セキュリティに重要なこと何ですけどね。えっ?本当に泥酔してたらしいですね。日頃の意識ですよ。
③パスワードが掛かっていたから
えっ?「英数字13桁のパスワードを設定している。解読するのは難しいのかなと考えている」おいおい!どういう状態でパスワードが掛かっているのか知りませんが、パスワードの強度で考えれば、難しいというほどのものではありません。記号入ってないし。
そもそも、桁数も文字種も言う必要ない!っていうか、言ってはイケナイこと。いや、わかりますよ。言いたかった理由は「そんなに騒ぐことない」「たいして問題ない」だって英数字13文字だぞ!くらいの意識だから言っちゃうし、担当者の方もオープンに状況の説明をすることが大切で、担当者としての役目は果たした!くらいなのでしょか?
セキュリティ上、大問題です。質問で突っ込まれても、セキュリティ上お答えできませんくらいの対応はして欲しいですね。それがセキュリティですから。
過去の漏洩事例から、個人情報が漏洩した場合に考えられる「結構長い期間活用される」ことと、「その間嫌な思いをする」ことなんて、事故した当人はほとんど考えられてないと思います。もう8年くらい前の記事ですが、参考にどうぞベネッセの思う「重要でない情報」を7つのケースで考える
で、速報のニュースで、えっ?見つかったと?
尼崎市、全市民の個人情報入りUSBを発見 メモリ内のデータの調査へ
おおぉぉ! 凄いですね。全力で探すって言ってたですよね。何で見つかったんだろう?と個人的疑問を残しつつ...
もちろん出てこないよりもいいのですが、出てきたからって「行方不明の間に何も無かった」ってどう証明するのですかね?興味があります。
略せば、データの入ったUSB紛失しました!ってことですが、その深さをよくよく理解した行動をして欲しい思います。
あと、ニュースバリュー(例えば、全市民とか、大手○○社など)のある内容だと目につきやすいですが、まったくニュースに出ない「これとほぼ同じ事故」が結構発生していることを知っておいて下さい。全然対岸の火事どころではありませんので。。。