セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 不要となった情報資産の適切な取り扱いとその管理について

不要となった情報資産の適切な取り扱いとその管理について

不要となった情報資産の適切な取り扱いとその管理について
目次
  • 今回の解説ニュース
  • 利用の役目を終えた社用PC、求められる対処は?
  • 組織が拡大しても、PCの管理が適切に行える環境作りは可能なのか

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

社員証作成用の WindowsXP 搭載パソコン紛失、時期は2013年以降か

南海電気鉄道株式会社は10月26日、商業施設「なんばCITY」のテナント従業員の個人情報が保存されている可能性のあるノートパソコン1台の紛失について発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

約20年前に導入したパソコンが行方不明になってしまったということです。不要になった情報資産の適切な取り扱いや、大量の情報資産を長年にわたって保持する際に、紛失しないための対策について説明します。

今回のインシデントは、同社社員が、2005年ごろに導入したノートパソコンのリース契約更新をしようとした際に紛失が判明しました。当該パソコンの使用用途と所在について調査したところ、従業員証作成ソフトがインストールされており、ソフト用データとしてテナント従業員の個人情報が保存されていた可能性があるということです。原因として、従業員証は2013年以降は別のパソコンを使用し作成しており、組織変更や執務場所の変更等があった過程で当該パソコンが2013年以降に紛失したと推測されています。

対策として、同社では個人情報保護委員会に報告しており、現在入居のテナントに対しても、謝罪と経緯説明の書面を送付しています。再発防止策として「パソコンの稼働状況、および保存情報の所在についての定期的な確認」「セキュリティワイヤーの使用等によるパソコンの盗難・不用意な移動の防止」「パソコン端末の廃棄の際には外部業者によるソフトウェア消去、電磁破砕消去、破壊消去等を行うとともに、消去証明書を受領」するということです。

利用の役目を終えた社用PC、求められる対処は?

パソコンなどの情報資産は、資産管理を行ったうえで、不要になったデータは適切に破棄することが求められます。

例えば、皆さんも機種変更した際に使わなくなったスマートフォンをお持ちではないでしょうか。使わなくなったスマートフォンに何も対策をしていなければ、個人情報が保存されたままです。そのまま中古として売ってしまうと、誰かにデータを見られてしまうかもしれません。また、使わなくなったからと言って適当に保管していると、どこに行ったか分からなくなってしまって、結果として保存されたデータごと誰かの手に渡ってしまうかもしれません。

組織で保持しているパソコンも同様で、使わなくなった情報資産やデータは適切に破棄することが求められます。具体的には、まず、どのような情報資産が組織に存在しているか台帳管理を行います。次に、その情報資産が確かに存在していることを定期的に確認します。そして、その情報資産が不要になった際は、データが確実に消去されていることを確認した上で、必要に応じて破棄を行います。

今回のインシデントでも、再発防止策として「パソコンの所在についての定期的な確認」と「パソコン端末の廃棄の際に外部業者による消去」が挙げられています。

組織が拡大しても、PCの管理が適切に行える環境作りは可能なのか

組織が大きくなっても情報資産を適切に管理するためには、資産管理について、属人的な管理ではなく、仕組化して管理することが望まれます。

資産台帳と言ってすぐに思い浮かぶのは、Excelやスプレッドシートによる管理ではないでしょうか。確かに、Excelやスプレッドシートはすぐに使えて、操作も簡単ですが、大きな組織で複数人が更新を重ねていくうちに、どれが最新版か分からなくなってしまうことがあります。理由は、Excelやスプレッドシートにより資産管理は属人的になりがちであるからです。

資産管理の属人性を排除するためには、システムで自動化するなどして仕組化することが望まれます。さらに、情報資産の管理に加えて、情報資産を管理する際に紛失以外のセキュリティリスクについても並行して管理できると効率的です。具体的には、情報資産に関連する脆弱性や脅威情報が同時に可視化されると、管理者がどのようなセキュリティ対策を行う必要があるかが優先度も含めて明確になります。

今回は、不要になった情報資産の適切な取り扱いや、大量の情報資産に対するリスク管理についてお届けしました。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ