こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
東京都は11月24日、池袋パスポートセンターでの個人情報の不正持ち出しについて発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】パスポート発行の業務中に知りえた個人情報が不正に持ち出されたということです。情報の不正持ち出しをさせないための物理的なセキュリティ対策や、その罰則について説明します。
今回のインシデントは、旅券発給の窓口業務を委託していた従業員が、個人情報を窃取した疑いで書類送検されたというものです。原因として、業務中に知りえた個人情報を付せん紙に書き写す等して不正に持ち出したことが挙げられています。
対策として、不正持ち出しの対象者に郵送で説明と謝罪を行うとともに、問い合わせ電話窓口を設置しています。また、警視庁からの情報提供をもとに被害届を提出、警視庁からの照会事項に対し確認・回答する等、捜査に協力するとともに、再発防止策を検討・実施しています。
なお、業務に従事する従業員とは、入社時に秘密保持誓約の締結を行い、入社時及び定期的に個人情報保護や情報セキュリティに関する教育を実施する等、管理を徹底していたが事件発生に至ったということです。
情報の不正持ち出しを防ぐための物理的なセキュリティ対策として、退出時のチェック以外に、業務エリアへの持ち込み制限や、監視カメラの設置が挙げられます。
持ち出しを制限するためには、持ち込み時点から制限することが有効です。パソコンの設定でUSBや外部デバイスを制限したとしても、今回のインシデントのように、紙に書き写されたり、スマートフォンで映像を撮影されたりして、情報を持ち出される可能性があります。まず、持ち込みを制限することで、物理的な情報持ち出しを防ぐことが期待できます。持ち込みが許可されたものは、透明なカバンに入れるなどして周囲から見える状態にすることも有効です。
また、監視体制を整備することで、情報の不正持ち出しを抑止することが期待できます。具体的には、業務エリアに監視カメラを設置して、防犯のために撮影していることを従業員へ知らせることが挙げられます。注意点として、監視カメラで撮影した映像が個人情報に該当する可能性があるため、個人のプライバシー保護の観点からも、監視カメラの設置目的や利用方法を従業員に周知することも必要です。
個人が情報の不正持ち出しをすることによって、就業規則に基づいた罰則や、組織に損害を与えた場合、民事上の責任を問われる可能性があります。
まず、今回のインシデントで被害にあった企業のように、従業員の入社時に秘密保持誓約の締結をしたり、就業規則にて罰則を規定していたりすることが一般的です。不正に情報を持ち出すと、それらに基づいて、懲戒などの罰則を受ける可能性があります。
もし、不正に持ち出した顧客情報を競合他社に提供した場合、損害賠償請求の対象となる可能性があります。また、不正に取得した個人情報をSNSなどで拡散した場合は、名誉毀損やプライバシー侵害などの罪に問われる可能性もあります。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
