セキュリティの
学び場

今回の解説ニュース

市が管理している個人情報の入った資料を紛失してしまったということです。マニュアルに書かれたルールが守られない理由や、セキュリティ対策が形骸化しないために気を付けるべきポイントについて説明します。

今回のインシデントは、市の窓口にて受託業者のスタッフが、受け付けた調整給付金確認書等の一部が入ったクリアファイルを紛失したというものです。原因として、受託業者作成の運営マニュアルでは、個人情報に関わるものは市民の見えない場所で保管・管理することになっていましたが、受付者の多い時間帯に一時的に受付窓口の机上で保管し、所定の場所で保管・管理していなかったことが挙げられています。

対策として、同市では紛失した12名に戸別訪問を行っています。再発防止策として、受託事業者では、窓口スタッフに加え現場責任者を配置し、受付窓口の監視及び管理を行い、手続などがマニュアルに沿っているか現場責任者が定期的にチェックするということです。

マニュアルに書かれたルールが守られない理由

マニュアルに書かれているルールが守られない原因として、セキュリティに対する意識の低さや、利便性との両立が挙げられます。

セキュリティのルールが守られない理由は、多岐にわたります。特に個人レベルの原因として、主にセキュリティに対する意識の低さや、利便性との両立が挙げられます。

例えば、セキュリティのルールとしてパスワードポリシーが定められていても、利用者本人が、第三者が推測できる簡単なパスワードを設定してしまったり、複数のサービスで同じパスワードを使用してしまったりすることで、アカウントが乗っ取られてしまう可能性があります。また、共有アカウントのパスワードを定期的に変更することがセキュリティのルールとして決まっていたとしても、利用者本人が、パスワードの変更を怠っていたり、同じパスワードを繰り返し設定していたりすると、退職者などが引き続き、サービスへアクセスできてしまう可能性があります。

セキュリティ対策が形骸化しないために気を付けるべきポイント

セキュリティ対策を形骸化させないための対策として、セキュリティの必要性に関する教育や、定期的なセキュリティ監査が挙げられます。

セキュリティ対策は、一度導入すれば万事解決というわけではなく、それらが有効に活用されることで、初めて安全性を担保することができます。そのためには、セキュリティ対策について、その必要性に関する教育や、定期的なセキュリティ監査が必要です。

具体的には、セキュリティに関する重要性を、全社員が理解し、行動に移せるように、定期的な教育を実施します。例えば、フィッシングメールの事例を用いたロールプレイングなど、実践的な演習を取り入れることで、より効果的な学習が期待できます。そして、経営層がセキュリティ対策の重要性を理解し、率先して取り組む姿勢を示すことで、組織としてセキュリティへコミットすることが求められます。

また、セキュリティ対策が有効に機能していることを、第三者によるセキュリティ監査を実施することで、自社では気づきにくい問題点を発見することができます。そして、監査結果に基づき、改善すべき点を洗い出し、具体的な対策を講じることで、セキュリティ対策の有効性を継続的に改善していくことが期待できます。