こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
社会医療法人財団慈泉会相澤病院は3月29日、退職した元職員による患者の個人情報等の不正取得について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】退職者が内部情報を持ち出して、不正に利用したということです。退職者に対するセキュリティリスクや、性善説に基づくセキュリティ対策の課題について説明します。
今回のインシデントでは、同院を退職した元職員が退職後に、通院治療中の患者に対して他の医療機関での治療を勧誘する事案が発生しました。原因として、職員が後輩職員に対し、業務マニュアルが⾒たいと⾔って業務⽤のフォルダに保存してあったデータをコピーして持ち去ったことが挙げられています。
対策として、同院では対象となる患者に、個別に漏えいしたデータの内容を記載した書⾯を発送し、通知を行っています。また、本件事案の重⼤性を鑑み、個⼈情報保護委員会に報告を行っており、警察署に事件相談と同署に告訴状を提出しています。再発防止策として、同院では今後、全職員に対し個⼈情報が含まれたデータ等を厳格に取り扱うことを周知徹底するとともに、これまで実施していた個⼈情報保護に関する研修や管理体制についても再点検や⾒直しをするということです。
退職者に対するセキュリティ対策として、退職が決定した時点で、本人に割り当てられている権限を段階的に制限していくことや、情報を持ち出した際の罰則を定義して、本人に通知することが挙げられます。
例えば、Aさんが残念ながら会社を解雇されたとします。言い渡されたその日はショックのあまり、何も手につかないかもしれませんが、退職後の生活を考えて、Aさん自身が手に入れられる価値のありそうな情報は持ち出そうと思ってしまうかもしれません。結果として、Aさんによる情報の持ち出しは、我々企業にとって情報漏洩となってしまいます。
退職者による情報漏洩を防ぐために、本人に割り当てられている権限を段階的に制限していくことが必要です。具体的には、社内システムやクラウドサービスへのアクセス権限、パソコンや外部記憶媒体の持ち出しや使用制限、執務室への入室制限を適切なタイミングで行うことが必要です。また、社内規程や退職時の誓約書を用いて、情報を持ち出した際の罰則を本人に通知することで、情報漏洩に対する抑止とすることも有効です。
性善説に基づいたセキュリティ対策の課題として、その前提が崩れた際に安全性が担保できないことが考えられます。対策として、性悪説を鑑みたセキュリティ対策を検討することが挙げられます。
例えば、Aさんにオフィスのカードキーを渡した事により、Aさんがいつでもオフィスに出社してくれて、来客や電話の対応をしてくれているとします。そのような状況が、企業にとって効率が良い一方で、Aさんがもし、悪意を持ってカードキーを使えば、誰もいないオフィスで何をしても会社側が把握することはできません。そのために、執務室には監視カメラが設置されているわけです。
この、Aさんにカードキーを渡している状況が性善説に基づいた判断であり、監視カメラを設置している対応が性悪説に基づいた判断です。
人間の本質は善であるという性善説は、日本において多く受け入れられている価値観ですが、セキュリティリスクの観点からは不足していると言わざるを得ません。
一定の性悪説をセキュリティ対策に取り入れることで、適切に安全性を担保することができます。ただし、性悪説を過度に取り入れた場合、著しく生産性の低下や対象者の負荷が上がることも考えられますので、守るべき情報資産の価値を鑑みたうえで十分に検討することが必要です。
今回は、退職者に対するセキュリティリスクや、性善説に基づくセキュリティ対策の課題についてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ