事例で学ぶセキュリティインシデント（第18回）情報漏えいにつながるルール違反のUSBの利用

公開日：2024.11.14

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　関西で小・中学生向けの進学塾チェーンを運営するR社では、受験シーズンを目前に講師たちも多忙をきわめていたある日、A教室の講師から本部に連絡があった。「テスト結果のデータを保存したUSBメモリーをどこかでなくしてしまいました。どうすればいいでしょうか」。電話を受けた本部の事務職員は管理部門の責任者とIT担当者に連絡し、生徒の個人情報が漏えいするような事態にならないことを祈った。

USBメモリーにテスト結果や志望校などの個人情報を保存

　R社は大阪を中心に関西で進学塾チェーンを運営。子どもたちに寄り添ったきめ細かな指導を行い、中学受験、高校受験の生徒・保護者からの評判も高い。講師たちは生徒の志望校の絞り込みに向け、授業の合間をぬって生徒一人ひとりのテスト結果を分析するなど忙しい日々を送っている。業務時間内にテスト結果の集計・分析を済ませられないことも多く、その対応が課題になっていた。

　かつて大手教育関連企業が自社のデータベースから個人情報が漏えいし、多額の賠償金を支払った事案もあり、R社では生徒の個人情報保護に力を入れてきた。教室で使用している講師用パソコンの持ち出し禁止の社内ルールを設けていることもその一例だ。ただ、望ましいことではないが、受験シーズン前の繁忙期に限り、USBメモリーなどの記憶媒体にデータを一時的に保存し、講師の自宅のパソコンでデータを閲覧することを黙認してきた経緯がある。

　本部では、講師を呼んで事情を聞いたところ、昨夜、帰宅前に教室のパソコンからUSBメモリーにデータを保存し、カバンに入れたという。USBメモリーには担当する20名の生徒の氏名と学校名、テスト結果、志望校などの個人情報が含まれている。帰宅後、USBメモリーを探したが、見つからず本部に電話連絡した。帰宅途中、電車内でカバンから指導用の参考書を取り出しており、そのときに誤ってUSBメモリーを落とした可能性もあるという。ただ、不幸中の幸いとも言えるのが、R社では情報セキュリティ対策として、USBメモリーなどの記憶デバイスにファイルをコピーする際、自動的にファイルを暗号化するツールを導入していたことだ。万一、第三者にUSBメモリーを拾われても、情報を復号するのは困難だ。

　とはいえ、個人情報が含まれるUSBメモリーを紛失した不祥事は免れることはできない。本部では、役員に経緯を報告するとともに、鉄道会社と最寄りの警察署に紛失届を提出することとした。

管理体制の不備や持ち主の過失で高まる情報漏えいリスク…

　情報漏えいの原因は、システムへの不正アクセスなど外部からの攻撃だけでなく、システムの不正利用など内部に起因することも少なくない。パソコン、USBメモリーの盗難・紛失といった持ち主の過失、パソコンやハードディスク廃棄処分時のデータ消去の不徹底から情報漏えいすることもある。

　システムの不正利用を防ぐために欠かせないのがユーザーのアクセス制御だ。例えば、顧客データベースへのアクセスは営業部門の管理職に限定し、一般社員は閲覧のみ許可する、他部門の社員は顧客情報へのアクセスを禁止するなど、部署や役職に応じたアクセス制御により、情報漏えいのリスクを軽減することも可能だ。

　また、ログ管理も効果的だ。いつ、だれが、どんなシステムにアクセスしたのかといったパソコンの操作ログ、アクセスログを取得することにより、システムの不正利用を監視、抑止することも可能だ。情報漏えいなどのインシデント発生時にログ情報を元に原因を究明したり、再発防止策を検討したりするのにも役立てられる。

　アクセス制御やログ管理などの対策を講じていても、うっかりミスによるメールの誤送信やUSBメモリーの盗難・紛失などで社外に情報が漏れたりするリスクには対応が難しいのが実情だ。

　そこで、情報セキュリティツールによるシステム的な対策に加え、人の対策が必要だ。例えば、就業規則などで情報の取り扱いについてのルールを決め、社内研修などを通じてルールの順守を徹底する。

　こうした対策の基本となるのが、情報セキュリティポリシー(方針)の策定だ。企業活動のリスクは、事業内容や取り扱う情報の種類や件数などによって異なる。リスク低減ための対策を社内ルールとして規定し、情報セキュリティポリシーに取りまとめる。そして、社員にポリシーの順守を周知するとともに、本当に守られているか定期的にチェックするといった体制づくりが必要だ。

クラウドストレージを活用し生徒の情報を安全に取り扱い

　R社では、役員と管理部門、IT担当者が協議した結果、紛失したUSBメモリーに記録されている生徒の保護者に経緯を説明して謝罪するとともに、全生徒の保護者にも事案の発生を報告した。併せて、情報の取り扱いルールを規定した情報セキュリティポリシーの見直しを実施。生徒のテスト結果や志望校など個人情報の取り扱いについて、社外持ち出し禁止のルールの徹底や、黙認していたUSBメモリーの利用を原則禁止とした。

　そして、各教室の講師がパソコンに保管していた生徒のテスト結果などについて、本部のファイルサーバーで一括管理することも検討したが、サーバーの運用や各教室からのVPN接続に手間がかかるといった懸念もあり、インターネットを使ってアクセスできるクラウドストレージサービスの導入を決定した。

　クラウドストレージに保管された情報は、閲覧のみやダウンロード/アップロードの可否が選択可能なアクセス権の設定など、目的に応じて共有フォルダと個人用フォルダの使い分けが可能なサービスもあり、使い勝手が高いと判断した。R社では情報保護対策の強化と講師の情報取り扱いのルールの徹底を打ち出すことで、保護者らの信頼回復に努めている。