【事故時の対応】それでもUSBメモリを紛失してしまったときには、何をすべきか

【事故時の対応】それでもUSBメモリを紛失してしまったときには、何をすべきか

事故後の対応の目的は情報漏洩の被害を最小限に抑えること

USBメモリの利用ポリシーを定め、定期的に社内教育や棚卸による所在確認を行っていても、USBメモリを紛失してしまうことや盗難に遭うこともあります。そうした場合には、どのように対応すれば良いのでしょうか。

IPA(独立行政法人情報処理推進機構)が公開している『情報漏えい発生時の対応ポイント集(第3版)』には、情報漏洩後の対応の最大の目的は「情報漏えいによる直接的・間接的被害を最小限に抑える」ことであると掲げられています。USBメモリの紛失によって情報漏洩が発生すると、自社の損失はもちろん、顧客、取引先、株主、従業員など、多くの関係者に被害が及びます。

USBメモリを紛失してしまった際の初期対応

万が一、USBメモリの紛失が発覚した場合、被害を最小限に抑えるために、まずは早急な事実確認が必要です。

USBメモリに保存されていたファイルは何か?
→ 個人情報など機密性の高い情報は含まれていたか

紛失したUSBメモリはどんな物だったのか?
→ 暗号化などの情報セキュリティ対策は施されていたか

どういう経緯で紛失が発生したのか?
→ 最終利用者は誰で、最終利用日時はいつか

といったことを確認し、利用者への聞き取り調査などを通じて具体的な事実確認を行います。その後、USBメモリに保存されていたファイルや個人情報や秘密情報が含まれていた場合には、その情報の内容によって、監督官庁や警察などへの届け出や利害関係者への通知方法などを検討します。BtoCでビジネスを展開している企業の場合にはWebサイトや広報を通じた発表の検討も必要となります。

こうした初期対応に加えて、被害の拡大防止と復旧のための措置を検討し、さらに再発防止に向けた取り組みとして根本的な事故発生原因の究明などを進めていきます。

また、USBメモリの紛失直後には、直接的な被害が確認できなかったにもかかわらず、数年後にUSBメモリ内の個人情報が印刷されてバラまかれてしまうといった事例もあり、どんなケースであっても初期段階での対応が問われます。そのため、あらかじめ緊急時の体制や連絡要領などを定めておき、日頃から準備しておくことが大切です。

なお、普段からUSBメモリの利用者には、社内研修などを通じて、万が一、紛失や盗難などで情報漏洩事故が発生してしまった場合には、どのような損害が発生し、どれほど大きな労力をかけて対処しなければならなくなるのかを啓蒙することで、利用者の情報セキュリティ意識の向上、利用ポリシーの遵守、管理体制の徹底へとつながっていきます。

本稿の冒頭でも触れたように、USBメモリは安い物であれば数百円で購入できます。しかし、保存されている情報によっては、紛失などによる損害は金額では量れるものではありません。USBメモリは利便性の高いツールであるからこそ、安易に取り扱われることがないよう管理体制を整えることが必要です。

情報セキュリティ対策は、さまざまな制限や制御を伴い、業務上の手間が増えることから、従業員を縛るイメージで語られることが少なくありません。しかし、適切な管理を行うことは、さまざまなリスクから会社や従業員を守るための重要な施策と言えます。本稿が、そうした情報セキュリティ対策を検討されている皆さまの一助となれば幸いです。

デバイス管理の関連コンテンツ
利便性を犠牲にしないUSBメモリの管理方法とは
【利用ポリシーの策定】USBメモリが本当に必要なのは、どの場面なのかを絞り込む
【制限の適用】突然USBメモリの利用を制限すると、現場が困惑してしまう
【継続的な管理】USBメモリ利用者の情報セキュリティ意識の向上がカギ
【事故時の対応】それでもUSBメモリを紛失してしまったときには、何をすべきか
ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら