2022年6月23日、兵庫県尼崎市がすべての市民46万人余りの個人情報が入ったUSBメモリを紛失したと発表しました。[※1] その影響として、6月28日には金子総務大臣が地方自治体に対し、情報セキュリティ対策を改めて徹底するよう求める考えを示しています。[※2] その後も引き続き世の中に影響を与えているようです。[※3]
[※1]個人情報を含むUSBメモリーの紛失事案について | 尼崎市 [※2]USBメモリー紛失受け“情報セキュリティー対策徹底を” 総務相 | NHK [※3]政令市の4割が委託先調査に乗り出す、尼崎市のUSBメモリー紛失に危機感(1ページ目)| 日経XTech
3つのポイント
公開されている情報から、このセキュリティ事故には、いくつかの大きな問題が合わさっている点が見えてきます。まずは、以下の3つが考えられます。
- 人(個人)の問題
- 管理(組織及びプロセス)の問題
- USBメモリの問題
人へのアプローチ
1.および2.は「人的セキュリティ」と呼ばれる類のものです。委託業者の担当者に対する教育の実施、マニュアル通りに行動をしているかの定期的な点検といった、人に対するセキュリティ対策が不十分だったと言えるでしょう。
委託開始時は、しっかり実施していても、「慣れ」などで、教育が疎かになったり、指示命令系統が統一されなくなっていたり、といったことは起こりえることです。
人は、必ず間違いを起こします。しかし、それを如何に最小限に抑えるか、間違ったときにいかにリカバリーがすぐにできるかが重要です。日ごろから、リスクの顕在化とその対策の観点で、点検が必要です。
技術的なアプローチ
3.は、技術的な問題になります。
今回のような事件が起きると、USBメモリを使われている多くの組織では、「やはりUSBメモリ利用は危険だ。今度こそ自分たちも利用を禁止しよう。」と動きます。ただ、このような事案は今に始まったことではなく、現場からすると、「利用を止められるところはもう手を打って止めています。どうにも止められないところが残っているので、これ以上は無理です。」ではないでしょうか。
実際に、例えば、自治体ではマイナンバー系はネットワークを分離しなければなりません。そうなるとデータ移動に使えるインターフェースとして、最も手軽なものはUSBメモリになるでしょう。それゆえ、総務省の自治体セキュリティ対策の中において、条件付き[※4]ですがUSBメモリの利用が認められています。
[※4]地方公共団体における情報セキュリティポリシーに関するガイドライン|総務省USB メモリ等の電磁的記録媒体による端末からの情報持ち出しを行う場合は、次の手段により実施しなければならない。
地方公共団体における情報セキュリティポリシーに関するガイドライン(令和 2 年 12 月版)総務省の自治体セキュリティ対策
- ・端末には利用許可された媒体のみ接続可能とすること。
- ・データは暗号化しパスワードを設定すること。
- ・利用媒体は、全て管理し利用履歴を残せること。
- ・データの受け渡しには、必ず情報セキュリティ管理者の承認と承認記録を残せること。
つまり、「使わざるを得ないのであれば、必要な対処を取って使う。」という解決策ですが、これは現実的であり適切でしょう。今回の事案について報じされている内容から察するに、尼崎市では、この条件を満たしていたと思われます。しかし、人的なミスで、ここまで大きな問題として取り上げてしまわれました。
ですから、今回の事案では、「教育」と「手順の徹底」が行われていれば、防げたことでしょう。
ただ、本当にそれだけでいいのでしょうか。そもそも、仕方なく使っている「USBメモリ」は、そのまま利用し続けるしかないのでしょうか。
USBメモリを使わざるをえない環境で使われる「データブリッジ」
今回の事案のように、データを利用する拠点が離れている場合の解決策としては、セキュアなクラウドシステムの利用や、中間サーバのような高価なシステムを導入する、といった手段が代替策として考えられるでしょう。
しかし、拠点が離れていなければ、もっと安価な「データブリッジ」を利用するという選択肢もあります。
「データブリッジ」は、送信側と受信側をUSBケーブルで接続し、一方通行のデータ受け渡しができるため、安全にファイルが移動できます。また、セキュリティ上許可されたファイルのみが通信可能なため情報の持ち出しを防ぎ、安全・安価にネットワーク間のデータ受け渡しが実現できます。
さらに、データを受け渡した記録は自動で保存されるため、煩雑になりがちな管理業務の負担も軽減されます
USBメモリを利用してデータ移行していたお客様が、データブリッジを利用することで、業務の効率化を実現された事例も多くあります。これまで、申請/記録は都度の記帳やWeb申請承認となっていましたが、データブリッジはそれを自動で取得するので、煩雑さの解消軽減や、申請/記録における人的ミスの回避ができるためです。
今一度、USBメモリの利用について考える
USBメモリは、持ち運びに便利で、最近ではかなり大きい容量のファイルも扱えるため、非常に便利です。パスワードや暗号化の機能などもあるため、万が一紛失しても、容易には中身が抜き取られるようなことはありません。 しかし、今回の事案では、「紛失する」という事実のみで、大きな問題となり、紛失した企業には、たとえ一時的であったとしても、社会的信用を欠くという損失も与えてしまったことでしょう。
いずれにしても、今回の件で、利用手順の明確化、社員の教育、を行って使い続けるか、新たな方法を模索すべきか、今一度考えてみるよい機会にはなったことでしょう。
人ごと、と考えず、ぜひ、今の方法が一番なのかを再考していただきたいと思います。