こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
総合派遣、請負事業を行うUTコネクト株式会社は9月19日、同社へ応募のあった求職登録者情報が外部流出したと発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】誤って個人情報が記載されたファイルをメールに添付して送信してしまったということです。ファイルから不要な情報を適切に削除する方法や、セキュリティの意識を向上させるための取り組みについて説明します。
今回のインシデントは、新規顧客向けの営業DMに、求職登録者の個人情報の記載があるExcelデータを添付し送信したところ、顧客からの連絡で、ファイルに個人情報が含まれていることが発覚したというものです。原因として、当事者の個人情報の取扱いに対する意識不足と、送付時の慎重な確認、組織内でのチェックが機能しなかったことがあげられています。
対策として、送信先の顧客全てに「メール転送の有無」「印刷有無」「デスクトップ保存の有無」の確認とデータ破棄の確認を完了後、漏えい対象に連絡を行っています。再発防止策として、各事業所内における情報の取り扱いとチェック体制の再整備、営業社員への情報取り扱い教育を強化するということです。
ファイルから不要な情報を適切に削除する方法として、表示データとメタデータの両方を、非表示ではなく削除することが必要です。今回のインシデントについて詳細は公表されていませんので、あくまでも一般論として説明します。
まず、情報を削除する対象として、表示データだけでなく、メタデータにも気を付ける必要があります。Excelの場合、ファイルから情報をクリックして、問題のチェックからドキュメント検査を選択し、検査を実行して不要な情報を削除するようにしましょう。
また、ファイルから情報を削除する場合は、非表示は十分でないことに気を付けることが必要です。Excelの場合、セルやシートを非表示にしたり、黒塗りで目視では見えなくしたりしても、データとしてファイルから削除されたことにはなりません。非表示ではなく削除を選択することで、ファイルからデータを確実に削除するようにしましょう。
その他にも、ソフトウェアによっては、目には見えないデータがファイルに保存されている場合がありますので、確実に意図しない情報が含まれない形でデータを共有したい場合は、PDFやExcelなどのファイルを添付することを避けて、テキストデータとしてメールの本文に記載するなどの方法を検討するようにしましょう。
セキュリティの意識を向上させる方法の一つとして、発生したインシデントを共有することがあげられます。セキュリティの意識を向上させるために、まずは自分ごととしてとらえる必要があります。その方法の一つとして、身の回りで発生したインシデントを共有することがあげられます。同じ組織で発生したインシデントは、より身近なものとして感じることができるかもしれません。セキュラジで配信しているインシデント情報も、皆さんが身近に感じられるよう、セキュリティ情報をお届けしています。ちなみに、Voicyさんでもセキュラジを社内研修にご活用いただいているようです。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ