事例で学ぶセキュリティインシデント（第16回）端末の盗難・紛失リスクに備える

　管理部門の担当者とIT担当者は、前日に電話をしてきた介護職員から「端末紛失」の経緯を聞いた。その職員は業務終了後、夕食の買い物のために自宅近くのスーパーマーケットに立ち寄り。駐車場に止めた自身の軽自動車内でタブレット端末に業務報告を入力した後、買い物をして帰宅した。

　タブレット端末は大切なものなので、財布などの貴重品と共にバックに入れていたという。帰宅後、タブレット端末の充電をしようとしたが、カバンにはなく、自動車内も探したが見つからず、会社に電話したと説明する。紛失したタブレット端末には介護サービス利用者の個人情報も保存されている。端末の起動にはパスコードの入力が必要だが、最悪の場合、情報漏えいのリスクもある。管理部の担当者とIT担当者は相談の上、職員が前日に買い物をしたスーパーに電話し、落とし物として届けられていないかを確認するとともに、最寄りの警察にも紛失届けを提出。そして、上司、経営層にインシデントを報告した。

端末の盗難・紛失による情報漏えいリスク

　ノートパソコンやタブレット端末、スマートフォンなど、端末の盗難・紛失による情報漏えいのリスクは身近なところにある。営業活動で外出中に電車やタクシーに端末を置き忘れるミスをはじめ、駐車場に止めた社用車が車上荒らしの被害に遭って端末が盗まれる、カフェで端末を使っている時にちょっと席を外した隙に盗まれるといった恐れもある。

　また、以前は端末の社外持ち出しを禁止する企業は少なくなかったが、コロナ禍を経てテレワークやハイブリッドワーク、リモートワークが浸透。端末を社外に持ち出す機会が増えるとともに、端末の紛失・盗難のリスクも高くなる。

　端末の盗難・紛失により、悪意のある第三者が端末に不正ログインし、端末に保存された機密情報を盗み取ったり、記憶媒体を取り出して機密情報に不正アクセスしたりする恐れがある。個人情報や機密情報の漏えいが確認されていなくても、企業は端末の盗難・紛失の公表を余儀なくされることもある。企業の取引情報や機密情報が流出・漏えいした場合、ビジネスの信用を失うだけでなく、取引停止など経済的な損失を被る恐れもある。

　端末の盗難・紛失による情報漏えいを防ぐには、端末に内蔵された記録媒体のデータを暗号化し、情報の読み取りをできなくする方法がある。また、モバイルデバイス管理(MDM)ツールを用い、端末の盗難・紛失時に遠隔から端末のロックやデータを消去することにより、情報漏えいを防ぐことができる。この他、タブレット端末やスマートフォンの位置情報を検出できる設定にしておくことで、万一の紛失時にも早期発見が期待できる。

ビジネスチャットやクラウドストレージの活用を検討

　P社の介護職員の端末紛失のインシデントは思わぬ結末を迎えた。職員が立ち寄ったスーパーの駐車場の植え込みから端末が見つかったという電話連絡を受けたのだ。職員が車を駐車した位置とも合致しており、車のトランクを開けた際にカバンから端末がすり落ちたようだ。幸い、端末への不正アクセスの形跡はなかったが、今回のインシデントはITを活用した働き方改革の落とし穴となるものだった。

　管理部の担当者とIT担当者は、端末紛失の経緯を全職員に報告するとともに、情報保護にかかわるセキュリティ研修を定期的に実施することとした。また、職員同士の連絡に私用のチャットを使うこともあったが、セキュリティが担保されたビジネスチャットの導入を決定。全職員への連絡事項やその日の出来事をチャットで情報交換・共有する仕組みに変更する。これにより職員の円滑なコミュニケーションのみならず、育児休暇などで休職している職員も職場の動きが分かるようになると期待している。

　また、端末の記憶媒体に保存されたデータの暗号化も検討したが、情報は端末に保存せずクラウドストレージを活用することとした。介護職員は利用者の報告の他にも、介護保険の請求に必要な書類の作成なども行う。メールで送受信していた書類や情報についても、クラウドストレージを介していつでも、どこでも安心して情報をやり取りできるようになると見ている。こうした取り組みにより、人手不足の中でもさらに効率的な働き方が実現すると期待している。