【ケーススタディ】未だに減らないパソコン紛失事故で考える立場による視点の違い
先日、千葉県の職員が起こしてしまった情報セキュリティ事故の教科書的事例です。これ民間企業においても未だにもの凄い数の同じ事故が起きています。報告も内輪や取引先だけの枠の中で完結しているので、そんなに起きてるの?って感じかもしれません。
1 事案の概要
(1)紛失物:鞄
【内容物】業務用パソコン、会議資料、筆記用具及び名札(2)発覚日時
令和5年11月18日(土曜日)午前10時00分(3)状況
・令和5年11月17日午後、当該職員は業務用パソコンを持ち出して都内での会議に出席後、帰宅途中の船橋駅周辺の飲食店で飲酒し、業務用パソコン等の入った鞄を紛失しました。
・職員は、翌日18日午前10時ごろに鞄を紛失したことに気づき、経由した駅や店舗、タクシー会社等を捜索しましたが、発見できませんでした。速やかに最寄りの交番へ遺失物届を提出したほか、19日にかけて改めて交通機関や店舗等を捜索したものの発見できず、上司へ報告しましたが、現在も発見には至っておりません。
・なお、紛失した業務用パソコンは情報漏洩対策として、顔認証による職員以外の利用制限及び記憶装置(SSD)の暗号化により直接データの読み取りができないなどの対策を実施しているとともに、紛失の連絡を受け庁内ネットワークへの接続を遮断し不正侵入の防止を行ったところです。また、パソコン内に県民の個人情報等は保存されておりません。
簡単に説明しなくとも、わかりやすい事例です。テンプレート化出来るほど同じことしか起きてません。
5W1H的にすると、
01.What なにを:業務用パソコン
02.When いつ:11月17日(金)
03.Where どこで:船橋市内
04.Who だれが:市町村課職員
05.Why なぜ:週末をまたぐ直帰なのにパソコンと一緒に帰ったから
06.How どのように:家路までの間にパソコンの入ったカバンを紛失
03どこですが、おそらく飲み屋か、家路までの道中のどこかと推測しますが、翌朝まで気が付かないというのは、どの程度の意識状態なのでしょうか?
別にゴム人形のようにグデングデンな酔い方をしても関係ありませんが、
・最低限ビジネスマンならば、今回がはじめてのゴム人形だとしても、それを予測する(リスクマネジメント)か、以前にもあったならば、余計なものを持って帰らない。ただそれだけです。とてもシンプルです。
従業員側の立場から
・事故起こした当事者:それっぽい大義名分があったりしますが、ことが起きれば意味がありません。事故後には言い訳とも言われます。
・当事者の近くにいた同じ部署の方々:先月あったNTT西の大規模情報漏洩などとは違い、隠れてパソコンを持ち出すような事ではないので、誰かは知っていてもいいはず。持ち出し禁止のルールが無くとも、当事者がうっかりして持ち出しているケースもあるので、周りの方々も全体の気配り目配りが必要です。相互牽制ともいいます。
・同じ組織の職員:気をつけよう!とお達しが出ますが、本当に相当気をつけている方か、へぇ~大変だったねねぇ、という他人事の両極化。全員に共通する発生するまで事故は起きないという意識です。怖いです。
・ニュースとして見る他組織の方々:当事者に近い方々やセキュリティに関わる方以外は、ほぼ興味がありません。前に同じく発生するまで事故は起きないので興味すらありません。
従業員を管理する立場では
・情報セキュリティを推進する方々:事故が起きれば責められるし、起きなくても褒められるどころか、文句ばかり言われてしまう。本当に同情します。推進する方々にできることと、当事者がやらなければならないことを、一緒くたにしてしまうから、こうなってしまいます。後、情報セキュリティにも技術系と非技術系がありますが、専門分野が違うのに、こちらも一緒くたにされがちで専門外の方に専門外の事をさせている事を多く見ます。誰も幸せにならないことです。
・当事者が属する組織の責任者:なぜ起きてしまったのか?どのようなことが事故を誘発したか?と、事の本質を追求して再発防止を考える立場なはずですが、誰がやったのか?と追求ポイントがズレてしまうことが多くあります。次に起きないように業務プロセスを変えるのではなく、規則を増やすだけになることが多くあります。それ自体は起きにくい環境にはなりますが、他のセキュリティに関する穴が増えてきますので、セキュリティレベルはより低下します。
・組織を管理する上位組織(本社とか):二度と同じ事故を起こしたくないので、どんなことをしても対策をしたいのはわかります。しかしこの立場の方々が、どのように組み上げるか?事故をどのように捉えるか?次第で、その決定事項が末端までどのように浸透するか? 次にどのような効果を生み出すか? 采配の分かれるところです。
当事者の視点
こういう事故が起きた後、関係者の方々にヒアリングをすると「まぁ自分勝手な事を言い出す」ものです。漏れた情報や状況にもよりますが、
・たいしたことないよね?
・あの状況じゃ仕方ないです!
・この程度で済んでよかった...
これ、どの立場だと、こういう言葉が出てくるのでしょうか?
関係者の方々の、皆そう思いたい気持ちからなのでしょうが、そのまま関係各所に報告できないですねぇ。
起きにくくするにはどうすればいいか
これ、ここまで読んで後出しじゃんけんに聞こえますか?
毎回発生するのは別な組織ですが、古典的な事故ですよ。ノートパソコンが無かった時代からある事例です。大量のデータが入ったパソコンだったり、それがクラウドにつながり更に多くの情報へアクセスできるようになっただけです。
多くの情報セキュリティ事故は、どの組織においてもほぼ同じようなことが起きているだけです。事前に解っているものだけでも対応しておけば、セキュリティ事故全体が低くなっていきます。
・技術的に対策(暗号化とか、持ち出し禁止策...)
・仕事の仕方を変える(規則を強化する、業務プロセスを変える)
・セキュリティ意識を高める(教育とか事例研究)
根本的な部分まで考えないと円滑に進みません。ルール破るもの、抜け道作るのも、事故起こすのも、人が起こします。社内で起きた事例を、じっくり考えてみましょう。少しでも前に進むはずです。