2022年6月23日、尼崎市より全市民46万517人分の住民基本台帳の情報を含むUSBメモリの紛失が公表され、広く注目を集めました。公表の翌日となる6月24日に、USBメモリは紛失したかばんとともに発見されました。

尼崎市 - 個人情報を含むUSBメモリーの紛失事案について

「全住民情報が漏えいする可能性があった」という社会的な影響の大きさもあり、委託先管理のあり方、メディア対応のあり方など、ソーシャルメディアを中心に様々な意見が飛び交いました。

今回は、当該事案をきっかけとして、改めて重要情報を含むUSBなどの可搬記録媒体やPC・スマートフォン・タブレット等の物理的な取り扱いとセキュリティについて、その現状を明らかにしたうえで、対策について検討していきます。

紛失・置き忘れによるインシデントは、どの程度発生しているのか？

一般に、紛失・置き忘れを起因とした情報漏えいインシデントは、どの程度発生しているのでしょうか。参考になるデータをご紹介いたします。

１．2018年 情報セキュリティインシデントに関する調査報告書（JNSA）[1]

1. 紛失・置き忘れ(116件, 26.2%)

2. 誤操作(109件, 24.6%)

3. 不正アクセス(90件, 20.3%)

２．上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分（2021年）（東京商工リサーチ）[2]

1. ウイルス感染・不正アクセス(68件, 49.6%)
2. 誤表示・誤送信(43件, 31.3%)
3. 紛失・誤廃棄(16件, 11.6%)

対象の違いや集計年次の違いもあり、JNSAと東京商工リサーチの調査結果では差異がありますが、どちらの調査結果においてもトップ3に「紛失・置き忘れ（誤廃棄）」が入っています。特にJNSAの調査ではトップになっており、企業の関連規定整備状況や教育の頻度等にもよる部分はあるかと思いますが、インシデントの原因として無視できない要因となっていることは確かでしょう。

紛失・置き忘れはどのような理由から発生しているのか？

では、紛失や置き忘れはどのような理由から発生しているのでしょうか？この点については、皆様も過去の人生経験において思い当たること、想像できることがあるのではないでしょうか。

日本情報経済社会推進協会 (JIPDEC)が個人情報保護に関する社内向け教育参考資料として公開している資料[3]では、外出時・移動時の紛失について、以下の例を挙げています。

置き忘れや落下はともかく、「書類が風で飛ばされた」というのは冗談のようにも聞こえますが、実は比較的よく耳にするインシデントです。少し確認した範囲でも以下のような事例がありました。

1. 強風で資料が飛ばされ個人情報記載の書類を紛失（目黒区）
2. クリップボードに挟んだ契約書類が強風で飛ばされ紛失（新潟県）
3. 個人情報含む書類が風で飛散、一部未回収の可能性（済生会富山病院）
4. 風に飛ばされ文書1,600枚紛失（京都府交通安全協会）

なお、4.のケースでは飛ばされた2,800枚ほどの書類の内、1,200枚ほどは発見されたものの残り1,600枚が見つからずに紛失として扱われたようです。1,200枚を回収できたことも驚きですが、数が多いほど回収や確認も困難になるため、より注意深く管理する必要があるでしょう。

そして私たちはルールを守れるのだろうか？

紛失や置き忘れなどの事案が発生するたびに、その再発防止策として社内規定を強化する、というのはよくある対応です。例えば「宴席がある際にはPCや重要書類を持ち運ばない」「電車の網棚にカバンを置かない」などの規定が作られている組織は、過去に宴席＆泥酔や網棚置き忘れによるインシデントが発生した経験を有しているのかもしれません。

しかし、社内規定を整備したり、インシデント事例の周知をもって従業員の意識向上をおこなうことで、どれほど紛失・置き忘れのリスクは低減できるのでしょうか？

なんとなくリスクが低減できそうだとは思うものの、それを指し示す論拠はないまま、そして有効性を確認しないまま、とりあえずルール化されている、という状況も少なくないでしょう。

そもそも宴席にPC・重要書類を持参しないといったルールを定めたとして、酔っ払っていようがいまいが、失くす時には失くすものです。網棚に置かなかったとしても座っていた席の足元に忘れてしまうこともあれば、強風では飛ばされずとも叩きつけるような暴風雨により、カバンごと流されてしまう可能性もあります。ルール作りをしたとて、どの程度有効であるかの確認・検証は困難なのです。

よって、意識向上の取り組み自体は重要なれど、「ルールを作り、それを従業員が守る」といった正論だけで対策を強化していくのではなく、私たちが、「時には失敗することもある普通の人間である」ということを再認識した上で、実態に即した対策を考えていく必要があります。

そのためには、ルールが守られない前提に立ち、その対策を考えていく必要があります。具体的には、「紛失・置き忘れが発生することを前提に、その被害を最小限にできないか？」「PCや重要書類を物理的に持ち出さない環境が作れないのか？」といった考え方です。前者はリスク低減、後者はリスク回避の考え方と言えます。

大切な情報資産を守るために

紛失発生時の被害を最小化する取り組みとして、PCやメディアであれば強固なアルゴリズムと暗号鍵を用いた暗号化処理を行ない、復号できないようにすることは、一定の有効性が認められる対策であると言えるでしょう。その意味では、尼崎市のUSB紛失事案は「ファイルに対して13桁の英数文字によるパスワード設定を行っていた」ため、例え第三者の手にそのファイルが渡ったとしても、すぐには個人情報漏えいに結びつかなかった可能性もあります。ただし、会見で上記桁数などを公表してしまっているため、パスワード解析の難易度が下がってしまった点は問題です。そうでないにしても、第三者に渡った時点で「いつかは解析される」可能性が残るため、暗号化が絶対的な手段というわけではありません。

PCやスマートフォン、タブレットであれば遠隔からデータを消去すること（リモートワイプ）も、紛失に気づいてから早期にリモートワイプを実施できる場合に限っては、有効な対策となりますが、ネットワークに繋がっていないと実施できないなどの制限があるため、こちらも過信すべきではありません。

「PCや重要書類を物理的に持ち出さない」というのは有効な方策です。特に昨今のクラウド化の促進により、そもそものマスターデータがクラウドにあり、そちらへのアクセス手法を厳密に管理することで、利便性・可搬性と安全性を確保する事例も増えています。

例えばローカルPCにデータを保存しないような仕組み、近年であればクラウド上の仮想PCや、VDIのような形態を取り入れれば、紛失によるデータ漏えいの発生に結びつく可能性がなくなります。もちろん認証等が突破され、紛失端末を経由してクラウド・VDI環境にアクセスされてしまってはかえって被害が増大する結果になりますので、十分安全な管理を行う必要があります。

ただし、作業環境がネットワークに接続されていない、そもそもデジタル化が行われていないなど、業務内容によっては上記のような手法が困難であるケースも多いでしょう。PCやデータの持ち出しについては、前述の暗号化や、リモートワイプのような仕組みによって、インシデント発生時に被害を最小化することで一定の効果が見込めます。

そして未だ紙媒体でのやり取りが主体となっている環境については、現在のようなリモートワーク可能、かつペーパーレス化が容易な時代にあって、紙媒体の印刷物によって業務を遂行しなければならないという状況そのものを変えていくこと、いわゆる「DX」の推進を検討いただくことを推奨いたします。

ペーパーレスは行いたいが、業務プロセス上、単一企業で取り組むことができない、といったケースについては、サプライチェーン全体でその取り組みを考えていかなければなりません。

そのような業務プロセスの変革の材料として、セキュリティ対策の向上を持ち出すことは、変革実施のスピードを上げる効果もあるのではないでしょうか。

＜参考文献＞

[1]  日本ネットワークセキュリティ協会(JNSA), "2018年 情報セキュリティインシデントに関する調査報告書【速報版】", 2019, （参照 2022-08-01, https://www.jnsa.org/result/incident/2018.html）.

[2]  株式会社東京商工リサーチ, "上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分（2021年）", 2022, （参照 2022-08-01, https://www.tsr-net.co.jp/news/analysis/20210117_01.html）.

[3] 日本情報経済社会推進協会 (JIPDEC), "個人情報の取扱いに関する事故をおこさないために【紛失・盗難を防ごう】", p.14.,  2022, （参照 2022-08-01, https://privacymark.jp/system/reference/pdf/tools_accidents_2_main.pdf）.