こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
個人情報保護委員会は7月13日、地方公共団体から委託を受けた事業者でのUSBメモリ紛失事案を受け、個人データの適正な取扱いについて注意喚起を発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】個人データが保存されたUSBメモリの紛失事案を受けて注意喚起が発表されています。個人データや機密情報の取り扱いで気を付けるべきポイントについて説明します。
今回の注意喚起は、地方公共団体から委託を受けた事業者等において、個人データが含まれたUSBメモリを紛失する事案が発生したことで、個人情報保護委員会から発表されています。具体的には「安全管理措置について」「従業者の監督について」「委託先の監督について」の3点です。なお、個人情報保護法の第23条、第24条、第25条が該当しています。
また、委託先が再委託を行う場合は、委託を行う場合と同様に、委託元は委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受けまたは承認を行うこととしています。
なお、委託先を通じて或いは必要に応じて自らが、定期的に監査を実施することで、委託先が再委託先に対して監督を適切に果たすこと、及び再委託先が安全管理措置を講ずることを十分に確認することが望ましいとしています。
やむを得ず、個人データや機密情報を保存するために、外部記憶媒体を使う必要がある場合は、盗難や紛失を防止するためにあらゆる措置を講じるべきです。ただし、USBメモリだけを禁止しても根本的な問題解決にはなりません。
例えば、Aさんが財布をよく失くすとします。一番よいことは、財布を持ち歩かないことか、財布に何も入れないことですが、それでは財布の意味がありません。財布にお金を入れて持ちあることを前提とした場合、財布にチェーンを付けたり、お金が必要な時だけ財布を持ち歩くなど、紛失する可能性がある機会を減らすことが必要です。
ここで、Aさんがお金をなくさないように、財布を持たないようにしたらどうなるでしょうか。Aさんは財布の代わりにマネークリップやお金をそのままポケットに入れてしまうかもしれません。つまり、入れ物だけを制限しても本質的な対策にならないことになります。
近年、USBメモリ自体を禁止する組織が多くなりましたが、先ほど説明した通り、それだけでは十分な対策とはなりません。今回の注意喚起でも、外部記憶媒体を取り扱う場合は、施錠できるキャビネット又は書庫等の定められた場所で適切な管理を行ったり、持ち運びも業務上必要な場所に限るなど適切な管理を行うとともに、容易に個人データが判明しないよう、暗号化、パスワードによる保護等を行った上で保存する事が必要であるとしています。
セキュリティポリシーが開示されると、攻撃が成功するまでの時間を短縮化できてしまう可能性があります。しかし、セキュリティポリシーが脆弱でなければ、直ちに被害にあうというわけではありません。
今回の事故を受け、被害に遭った市が会見で公表した、パスワードが英数字を含めた13桁ということがわかれば、1~12桁のパスワードや、記号を含む文字列を試す時間が削減できます。また、パスワードを1年ごとに変えていることがわかれば、今年か去年の年数がパスワードに使われているかもしれません。これらの情報を組み合わせると、本来13桁であれば十分に安全と考えられるパスワードも攻撃者によって破られてしまう可能性が発生します。
ただし、セキュリティポリシーが開示されても、それ自体が脆弱でなければ被害が発生する可能性は変わりません。例えば、2段階認証をしている、クライアント証明書を使っているという事実が明らかになっても、セキュリティレベルが著しく低下するということは考えられません。
今回は、個人データや機密情報の取り扱いで気を付けるべきポイントについてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
