□□県○○市の建設部建築室住宅政策課管理係は、市営住宅の計画・管理・家賃等の収納が主な業務である。
市営住宅の募集は5月と11月の年2回。募集時期には、市報やホームページで、募集期間、申込用紙の配付場所などについて市民に知らせている。この時期は、入居希望者からの問い合わせによる電話対応業務が長時間になる日が多くなる。
11月、とある日、係員Aが係長に話しにくそうに報告を始めた。
係員:「あの……。係長、すみません。」
係長:「どうしたんですか?」
係員:「実は、11月の募集に向けて、自宅で作業をするために、業務に利用するデータを持ち帰っていたのですが、そのデータを入れたUSBメモリが3日前から見あたらないんです。すみません。」
係長:「なっ、なんだって!?」
普段は温厚な係長の顔が凍りついた。
同市のセキュリティポリシーでは、役所内部で取り扱う情報の安易な持ち出しを禁止し、情報を管理するための責任者として、各課の課長が情報管理者として任命されている。係員Aは責任感も強く、業務に対してまじめに取り組む職員で、係長や周囲から信頼されていたためか、持ち出しについては、黙認されていたようだ。
係長は思わず問い返す。
係長:「え!? ちゃんと探したのか!?」
係員:「はい。通勤経路や自宅も、この3日間、さんざん探したんですが……。」
係長:「そのUSBメモリには、何のデータが入っていたの?」
係員:「昨年度の5月の募集関連の資料と、今年度の空き家の推移状況表と、家賃滞納状況表です。あと、他にもいくつかのファイルが入っていました……」
係長:「た、滞納状況表もか?!」
滞納状況表は、個人の名前、住所、電話番号、滞納額が記載されている個人のプライバシーに関わる重要な個人情報だ。しかも、係員は他にどのようなデータがUSBメモリに入っているかを正確には覚えていなかった。
そこに情報管理者である課長が異変に気づき問いかけた。
課長:「何事ですか?」
係長:「課長、すみません。家賃滞納状況などの業務関連ファイルを入れたUSBメモリを紛失したとの報告を彼から受けていたところです。」
課長:「えっ!? 情報漏洩ってことですか!?どの程度の情報なんですか!?」
せめて、どんな情報のファイルが入っていたのかが分かれば、誰のどのような情報を紛失してしまったのかを説明し、謝罪などの対応もできるのだが。今のままでは、市長どころか、部長にも報告することは難しく、対策を練ることすらままならない。どうすればいいのか…。
情報漏洩事故の原因には紛失や置き忘れが多いといわれています。
このような情報セキュリティ事故の際には、原因の追究とその後の対策を早急に行うことが必要になります。
SKYSEA Client Viewを使えば、職員はいつも使うPCからUSBメモリにデータをコピーしているので、ファイルアクセスログをユーザ名で絞り込み、サーバから持ち出したファイルを調べることができます。持ち出したファイル名がわかれば、対応を決めることができます。
また、対策として持ち出しに使う外部記憶装置を制限すれば、安易にデータを持ち出せなくなります。セキュリティポリシーに従って、上長の認可のもとで業務を行うようにしていれば、こんなことにはならなかったかもしれません。
※情報セキュリティ事件簿は実際にあった事件を元に構成したフィクションです。