情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
組織の内部不正ガイドライン改正
皆さま、こんにちは。2015年3月30日、独立行政法人情報処理推進機構(以下IPA)は、「組織における内部不正防止ガイドライン」の第3版を公開しました。2014年は、ベネッセコーポレーションによる大量の顧客情報漏えい事件をはじめ、退職者による海外への技術流出や従業員による不正な情報の窃取など、内部者の不正行為による情報セキュリティ事件が相次いで報道されました。IPAは、企業が情報の持ち出し等による”内部不正対策”を効果的に実施可能とすることを目的とした同ガイドラインを2013年3月に初版公開し、今回の改訂版では2014年に発生した事例を分析し強調すべき事項を加筆しています。
同ガイドラインは、内部不正対策について未だ検討していない企業に対して、対策の整備と発生時の早期発見・拡大防止を目的としています。また、内部不正防止の重要性や対策立案・実行の体制、関連する法律などの概要を解説しているほか、組織における内部不正防止の在り方については、「基本方針」から、「資産管理」、「技術的管理」、「証拠確保」、「コンプライアンス」、「職場環境」、「事後管理」など10の観点のもと、合計30項目からなる具体的な対策を示しています。第3版では、同ガイドラインに対する企業等からの要望に対応したほか、ISMSの規格改訂(JIS Q 27001:2014)および営業秘密管理指針の全部改訂への対応、さらに同ガイドライン利用の参考となる基本原則および対策分類の追加をおこなっています。
▼ 「組織における内部不正防止ガイドライン」第3版の主な改訂内容
10の観点からの主な対策
▼ 情報処理推進機構(IPA)「組織における内部不正防止ガイドライン」
本ガイドラインでは、組織内において具体的な対策を講じることができるよう10の観点から必要な対策30項目を網羅的に示しています。30項目の各対策は、「対策の指針」、「リスクの種類」及び「対策のポイント」の3点から構成されています。ガイドラインには、対策の指針をまとめた「内部不正チェックシート」が付いていますので、自組織の内部不正対策の状況を確認することができます。
内部不正防止対策で重要なのは、「やると見つかる」という仕組みを構築することです。「重要な情報であることを明確にし、適切なアクセス権限を付与すること」「重要情報の持ち出し・可搬媒体等の持ち込みの監視」「定期的な操作履歴の監視・監査」の対策によって漏えいのリスクを低減することが求められます。以下に10の観点についてご紹介しておきます。
(1) 基本方針
- 経営方針に則った内部不正対策の基本方針を策定し要員に周知する。
- 経営者主導の下、内部不正対策を組織内に徹底させるための体制を構築・運用する。
(2) 資産管理
- 重要情報を格付け区分し、区分に応じた取扱いを定める。
- 利用者ID及びアクセス権の登録・変更・削除の手順を定める。また、重要情報へのアクセス権付与者を必要最小限とする。
(3)物理的管理
- 重要情報の保管場所や取扱う領域を定め、物理的に保護し入退管理を行う。。
- 情報機器及び記録媒体の持出し・持込みのルールを策定する。。
(4)技術的管理
- ネットワーク利用における対策(通信の暗号化、ウイルス対策ソフト・パッチの適用、ソフトウェアのインストール制限等)を実施する。
- 委託先とセキュリティ契約を締結し、定期的にセキュリティ対策の実施状況を確認する。
(5)証拠確保
- 重要情報へのアクセス履歴、操作履歴等のログ・証跡を記録し安全に保管する。
- ログ・証跡の内容を定期的に確認する(システム管理者以外の者が確認する。)。
(6)人的管理
- 役職、契約形態、権限(システム管理者・ユーザー)等に応じたセキュリティ教育を実施する。
- 雇用終了時に、秘密保持誓約書の提出、資産の返却、アクセス権の削除を行う。
(7) コンプライアンス
- 内部不正を犯した内部者に対する処分を就業規則等の内部規程に盛り込み、正式な懲戒手続を整備する。
(8) 職場環境
- 公平で客観的な人事評価制度を整備する。
- 業務量及び労働時間の適正化等健全な労働環境を整備する。
- 職場内において良好なコミュニケーションがとれる環境作りを推進する。
(9) 事後対策
- 内部不正発生時の対応体制、対応手順、報告手順等を整備する。
- 発生した内部不正の事例を内部不正者に対する処分も含めて要員に周知する。
(10) 組織の管理
- 内部不正と思われる事象が発生した場合の通報制度を整備する。
- 内部不正の防止・抑止の観点を含んだ内部監査等の確認を実施する。
ID、パスワードの脆弱性
本ガイドラインによる「物理的な保護と入退管理」の項目では、サーバールームへの入室の際のICカードによる認証に加え、「バイオメトリックス」による認証に関する文言が追加されています。
重要情報を守るためにファイアウォールやアンチウイルスを導入して外部の脅威に対抗することは、企業にとってもはや当たり前の施策となっていますが、それでも情報漏えい事件が頻繁に発生することからも分かるように、今のセキュリティ対策は必ずしも万全ではありません。とりわけ大きな課題と言えるのが、ID・パスワードによる認証システムのあり方です。内部ネットワークがいくら堅牢な仕組みで守られていても、ID・パスワードが流出し、悪意のある攻撃者が”なりすまし”によってシステムに不正にアクセスしたり、オフィスに侵入したりすれば、機密情報はいとも簡単に漏えいしてしまいます。IDカードのような”物理的な鍵”を使ったとしても、貸与や紛失、窃盗、複製などによる”なりすまし”の危険を払拭することはできません。
ID・パスワードについては運用側にも問題があります。よくある「パスワードの使い回し」やIDカード等の部署内での共有は、危険であると認知されているものの、その数多くが利便性とのトレードオフから放置されているのが現状です。こうした課題を解決するためには、複数の認証方式を組み合わせるとうことも一つの手段です。
現在の認証方式として「パスワードなどによる記憶認証」「IDカードなどの持ち物による認証」、そして「静脈や虹彩、指紋などによる生体認証」が挙げられます。それらを組み合わせることは、セキュリティ強度の向上において有効な手段だと言えます。
経営課題としての内部不正
2015年3月24日、日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アール(ITR)は国内企業698社のIT/情報セキュリティ責任者を対象に共同で実施した「企業IT利活用動向調査2015」の一部結果を発表しました。
「経営課題として「セキュリティの強化」の重要度が上昇 マイナンバー制度へのシステム対応は、多くの企業がアプリケーションの部分的な改変を想定– JIPDECとITRが「企業IT利活用動向調査2015」の速報結果を発表 –」。
本調査によると、重視する経営課題についての回答では、「業務プロセスの効率化」が過去の調査結果に引き続き首位で、「情報セキュリティの強化」を挙げた企業が前年調査から大きく増加し2番目となっています。重視されている情報セキュリティのうち、「内部犯行による重要情報の漏洩・消失」のリスクに対する認識を質問したところ、「最優先で対応が求められている」とした企業が25.4%、「セキュリティ課題の中でも優先度が高い」とした企業が29.4%に上り、半数以上(54.7%)が優先度の高い課題であると回答しています。
また、やはり関心が高い問題と思われる「標的型サイバー攻撃」のリスクの重視度合いについては、「最優先で対応が求められている(21.9%)」「セキュリティ課題の中でも優先度が高い(27.9%)」の合計で49.9%となっており、確かに高いのですが、内部犯行を特に重視している企業の割合の方が約5ポイント高いという結果であり、有効回答全体のうち5.2%(698社中36社)が過去1年間に「内部不正による個人情報の漏洩・逸失を経験した」とも回答していることからも、その背景事情が推測できます。
内部不正による情報の流出は、今に始まった話しではなく、その事実に気づかずに見過ごされ、放置されている可能性も多いにあります。
今の時期、新入社員を迎え入れ、社員研修としてセキュリティに関するプログラムを組んでいる企業も多いかとは思いますが、内部不正対策の有効な手段をいち早く入手し、反映できる企業体制の構築が望まれます。
内部不正による情報漏えい対策の考え方~違反や乱れを放置しない~
情報漏えい事故防止のための対策としては、IT関連ソフトウェアや機器の導入による対処療法に陥りがちですが、「個人の視点」に基づく計画・実施と「組織の視点」による継続的な運用の双方が必要不可欠です。個人的な視点とは、人間をよく知り、当事者の視点で捉えることです。例えば高額の借金を抱え、その返済に追われる状況に追い込まれた人間は、強いストレスを抱えて、それから逃れるために、あるいは、直接的に横領などの内部不正に至ることがあります。過大なフラストレーションやストレス、ネガティブな感情が膨らむことで人は不正を起こし得るということです。対策の検討、実施に際しては、人は組織や社会における地位によらず「つい魔がさす」ことがあるということを認識し、業務実態との整合を図り、当事者が意義を理解し主体的に取り組むことが必須であり、この視点を欠いた対策は、効果が薄いばかりか、関係者の負担を徒に増大させることにつながり、新たなルールの逸脱や別の形の不正を招く要因となるおそれもあります。
組織の視点とは、不正・違反防止に対する組織的な取り組みと言えます。「不正はどんな人間でも起こしうる」「不正は組織や環境に誘発される」という基本認識のもと、不正を生まない組織環境の構築や取り組みが求められます。組織内におけるコンプライアンス違反が「放置」されていると、そこにいる従業員は、社内規定や上司の指示・命令をタテマエ的であると認知し、信頼感や社内モラルの低下につながり、不正を誘発する要因となり得るのです。したがって、以下の項目に対する定期的なチェック・警鐘が必要です。
①小さな怠慢やミスが放置されている。
②周囲(上司・同僚等)が注意しない(もしくはできない)。
③小さな怠慢・ミスは許されるとの誤った認識が共有され、抵抗感がなくなる(習慣化)。
④また、認識していても、ここまで許されるなら、「もう少し散乱・破損しても大丈夫だろう」と自分で勝手にこじつける心理が働く(合理化・自己正当化)。
⑤違反や怠慢が放置されることにより、従業員同士で相互に注意しあわないことで、信頼感やモラルの低下が常態化する。)。
最も基本的な部分ではありますが、遠隔地や個々の現場においても、決められた組織のルールがローカルルール化しないよう小さな怠慢やミスでも見て見ぬふりをせず、注意できる環境を構築すること、例えば、風通しの良さといった良好な職場環境の醸成が急務であるといえます。怠慢や違反を放置しない、見通しのきかない場所をなくすということも不正抑止には非常に重要です。
最近のトピックス
▼ IPA(情報処理推進機構)「スマートフォンでのワンクリック請求の新しい手口にご用心~業者への電話、メールは絶対NG~」
IPA(情報処理推進機構)によるとスマホ向け架空請求詐欺・ワンクリック詐欺で、iOSとAndoroidのどちらでも動作する巧妙な2つの手口が発見されています。
(1) シャッター音で写真撮影されたように思わせる
スマホのブラウザでサイトを見ている時に、高額な請求が表示され、同時にカメラのシャッター音が聞こえるというものです。証拠として写真を撮られたのかと動揺させるのが犯人の狙いです。この手口では、実際には写真は撮影していませんが、シャッター音の音声ファイルだけを再生し、撮影されたように思わせる手法で、IPAでは「これは業者に個人に関する情報が伝わってしまったと利用者に誤認させ、慌ててメールや電話で業者へ連絡を取らせる意図があると考えられます」と分析しています。
(2) 強制的に電話発信させようとする
業者向けに電話をさせようとするもので、サイトにアクセスすると、強制登録画面が表示され、「10万円払え」などの脅迫画面がポップアップで開くというものです。このポップアップはOKボタンしか押せずに、そのまま進むと電話の発信画面が表示され、業者へ電話をかけさせようとする手口です。これらの新しい手口への対策としては、「身に覚えがあっても無視すること」、「ブラウザーのタブと履歴をすべて消去する」、「不正アプリを削除する」ことが必要で、だまされないようにするためには、無料の動画系サイトやアイドルや芸能人関連の無料サイトは必要以上に注意することが必要です。また、特に「無料動画プレーヤー」をインストール・利用したことによる架空請求詐欺の多く報告されているので、注意が必要です。
<関連するトピックス>
▼ トレンドマイクロ「スマホを狙うワンクリウェアに新たな手口-カメラ撮影音の鳴動や位置情報の送信も」
情報処理推進機構(IPA)は、インターネットやパソコンなどでの危険性・トラブルを、セキュリティの専門家が投票でランキングを決めて2014年に社会的影響が大きかった情報セキュリティ上の脅威からトップ10を選出し、「情報セキュリティ10大脅威 2015」として発表しました。
1位 オンラインバンキングやクレジットカード情報の不正利用
2位 内部不正による情報漏えい
3位 標的型攻撃による諜報活動
4位 ウェブサービスへの不正ログイン
5位 ウェブサービスからの顧客情報の窃取
6位 ハッカー集団によるサイバーテロ
7位 ウェブサイトの改ざん
8位 インターネット基盤技術の悪用
9位 脆弱性公表に伴う攻撃の発生
10位 悪意のあるスマートフォンアプリ
<インターネットを安全に使うための8つの対策・心がけ>
これらの情報セキュリティ脅威への対策として、IPAでは以下の8つの項目を「情報セキュリティ船中八策」としてまとめています。
一 ソフトウェアの更新~善は急げ~
二 ウイルス対策ソフトの導入~予防は治療に勝る~
三 パスワードの適切な管理~敵に塩を送ることのなきように~
四 認証の強化~念には念を入れよ~
五 設定の見直し~転ばぬ先の杖~
六 脅威・手口を知る~彼を知り己を知れば百戦殆からず~
七 クリック前に確認~石橋を叩いて渡る~
八 バックアップ~備えあれば憂いなし~
◆経済産業省「クレジット取引セキュリティ対策協議会が発足します~クレジットカード等を安全に利用できる環境整備を進めます~」
カード番号情報等の適切な保護の観点から、加盟店における非保持化の推進や保有する場合におけるPCI-DSS準拠に関する検証、新たな技術等の検証を通じた具体的な情報漏洩対策とクレジットカードのIC化が加速することを踏まえ、加盟店における決済端末のIC化等について、その推進に係る課題等について幅広く検討するとしています。また、インターネット上の取引におけるなりすまし等について、その発生状況や被害の実態を踏まえつつ、効果的な対応策の検討や新たな技術の検証等を行うとしています。
◆警察庁「平成26年中の不正アクセス行為の発生状況等の公表について」
警察庁は、不正アクセス行為の禁止等に関する法律に基づき、2014(平成26)年中の不正アクセス行為の発生状況等を公表しました。不正アクセス行為の認知件数は3,545件(前年比+594件)、検挙件数は364件(前年比-616件)となっており、検挙人員は170人(前年比+23件)、検挙事件数は150件(前年比+5件)となっています。不正アクセス行為の手口としては、利用権者のパスワードの設定・管理の甘さにつけ込んだものが84件(24.9%)と最も多く、次いでフィッシングサイトにより入手したものが71件(21.0%)となっており、「連続自動入力プログラムによる不正ログイン攻撃」によるログイン行為が約80万件認知されています。警察庁では、利用権者が行うべき対策として「使い回しをしない、推測が容易なものを避けるなど、ID・パスワードの適切な設定・管理」「金融機関等を装ったフィッシングメールに注意」「ウイルス対策ソフトの利用、各種ソフトウェアのアップデート」を挙げ、アクセス管理者等が行うべき対策として「ワンタイムパスワード等による個人認証の強化」「サーバの脆弱性の解消と監視体制の強化」を挙げています。システムの側からすれば、パスワードが何であれ、認証できたということは正当な利用者として判断されます。パスワードについては、個人利用の端末(スマホ、タブレット、PC)であっても少なくとも推測されやすいもの(生年月日、氏名、家族、ペットなど)は避けるとともに、8文字かそれ以上の文字数で英数を混ぜることや、同じユーザー名・パスワードを使いまわさないことが重要だと言えます。
最近の個人情報漏えい事故(2015年3月)
下記の表は、先月3月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next(http://www.security-next.com/)、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 運輸、駅 | 帳票紛失 | 氏名や住所、電話番号など約100件が含まれた遺失物を引き取った利用者や遺失物の定期券に関する情報などが記載された帳票 | 当該帳票は所定の場所で施錠管理されていたが、保存期間が経過した帳票と一緒に誤って廃棄した可能性 |
| 2 | 銀行 | 伝票紛失 | 名前や電話番号、取引金額など個人と法人合わせて約1000件。紛失したのは支払伝票や公金納付の依頼書などをまとめた伝票つづり10冊分。 | 保存期間を過ぎた書類と一緒に廃棄した可能性 |
| 3 | ガス | USBメモリ紛失 | 住所や氏名、顧客番号など約1200件が含まれた、USBメモリ5個 | 配管修理の委託先 |
| 4 | 市 | 書類誤交付 | 生活保護返還金の納付書を交付した際に、誤って別人の納付書を交付したもので、当該書類には、住所や氏名、納付額などが記載 | |
| 5 | ホテル | メール誤送信 | 宿泊者の氏名や会社名、到着日などが含まれた顧客78人分の確認書 | 誤って添付 |
| 6 | 東京都 | メール誤送信 | セミナー参加者25人分のメールアドレス | Bccではなく、宛先に誤って入力 |
| 7 | 町 | 書類紛失 | 農業調査対象者の住所や所有地面積などが記載された書類1枚 | |
| 8 | 国立大学 | 資料紛失 | 入学希望者6人の氏名や電話番号、高校の成績 | 飛行機内で、座席のポケットに置き忘れ紛失 |
| 9 | クリーニング | 書類紛失 | 学生の氏名や住所、メールアドレス、学校名などが記載された企業訪問カード10人分 | |
| 10 | 労働局 | 書類紛失 | 1人分の名前や住所、再就職先の企業名が含まれた再就職手当に関する書類 | 紛失の経緯は現在も不明 |
| 11 | 生活協同組合 | 検針端末機紛失 | 灯油やプロパンガス利用者約3000人の氏名や住所、電話番号 | 紛失の経緯は不明 |
| 12 | 銀行 | 印鑑票紛失 | 顧客の氏名や住所2000件が含まれた印鑑票 | 保存期間の終了した書類と一緒に誤って廃棄した可能性 |
| 13 | 市立中学校 | USBメモリ紛失 | 児童672人分の成績データなど | 警察へ紛失届を提出し、保護者へ説明と謝罪 |
| 14 | 北海道 | 外付けHD紛失 | 障害者の氏名や住所、相談内容など約1万件 | ハードディスクが盗まれた疑いがあるとして、警察に盗難届を提出 |
| 15 | 県立病院 | PC紛失 | 患者約400人分の氏名や病名などが記録されたPC1台 | 紛失の経緯は不明 |
| 16 | 県警 | FAX誤送信 | 行方不明者1人の住所や氏名に加え、届け出人の氏名 | 報道機関5社へ広報文を送ろうとした際、署員が誤って行方不明届に関する書類を誤送信 |
| 17 | フィットネスクラブ | USBメモリ紛失 | 参加者93人の氏名や電話番号、年齢、性別、住所、体力測定データ | 鞄を電車内に置き忘れて紛失 |
| 18 | 商工信用組合 | 書類紛失 | 顧客の氏名や住所、電話番号、勤務先、生年月日、口座番号、印影などが記載された預金印鑑票318件や出資印鑑票3290件 | 誤って廃棄した可能性 |
| 19 | 国際空港 | 不正アクセス | 外部サイトへ誘導するよう改ざん | 個人情報流出の有無は不明 |
| 20 | 総合病院 | 書類紛失 | 患者から預かった問診票や同意書、診療情報提供書など126人分 | 誤廃棄の可能性 |
| 21 | クレジットカード事業 | 不明 | 8万4153人分の、氏名や住所、生年月日、電話番号、メールアドレス、勤務先情報のほか、クレジットカード番号、有効期限、暗証番号、セキュリティコード、カード限度額 |
警察より連絡でクレジットカード情報流出が判明。
※経済産業省は、割賦販売法および個人情報保護法に基づいて、経緯や再発防止策などを報告するよう要請。 |
| 22 | コールセンター | 持ち出し | 顧客の氏名の一部、電話番号のほか、住所や生年月日、所属先など個人情報23件 | 紙に書き写して持ち出し、スマートフォンに登録。別件で逮捕され、警察が捜査を進める過程で私物スマートフォンから個人情報が発見。 |
| 23 | 就職情報サイト | メール誤送信 | 無関係なメールが最大587人に誤送信(個人情報はなし) | エントリー学生の情報を管理するデータベースシステムにおいてプログラムの不具合 |
| 24 | 市 | 不正閲覧 | 職員が戸籍情報にアクセス | 業務と関係なく戸籍情報を閲覧していた職員や、監督責任者に対して処分。自己申告では190人が特定の戸籍情報にアクセスしており、58人が業務外で閲覧したと回答。自分や家族以外の第三者を無許可で閲覧したとの回答は26人。 |
| 25 | 通販サイト | メール誤送信 | メールアドレス312件 | 誤って宛先に記載 |
| 26 | Webサービス | 不正アクセス | サイト改ざん(個人情報はなし) | 不正サイトに誘導され、マルウェアに感染する可能性 |
| 27 | 鉄道 | 詐取 | 不明 |
JR九州を名乗って個人情報を聞き出そうとしたり、事業への出資を勧誘する不審な電話が確認されているとして、注意喚起。
不審電話では、JR九州が設立30周年の記念でクオカードをプレゼントしているなどと騙し、個人情報を聞き出そうとするという。 |
| 28 | 保険 | マイクロフィルム紛失 | 契約者や被保険者の氏名、住所、生年月日、口座情報など270件 | 不正に持ち出された形跡は確認されておらず、社内で誤って廃棄した可能性が高いと説明 |
| 29 | 専門店 | 不正アクセス | 6581件のカード会員名、カード番号、有効期限で、セキュリティコード | クレジットカード情報が流出している可能性があるとの指摘を決済代行会社より受け、被害に気が付いた |
| 30 | 通信 | 誤表示 | 顧客161人分の氏名や住所、電話番号、生年月日、性別、メールアドレス | サービスの申し込み画面のシステム不具合 |
| 31 | 人材派遣 | 誤表示 | 求人エントリー」「登録予約申込」「インターネット仮登録」「お問い合わせ」「メール会員」などの登録フォームから入力された個人情報5814件 | |
| 32 | 市 | 誤送信 | 講師43人の氏名や住所、電話番号、生年月日 | 講師の個人情報を含むファイルを誤って添付し、ウェブサイトで公開 |
| 33 | セキュリティソフト | 誤表示 | 11人の氏名、5人のクレジットカード名義 | 設定ミス |
| 34 | 監査協会 | 誤送信 | 監査人資格取得者95人が対象 | 誤って作成過程に問題があるリストを使用 |
| 35 | リゾート | 不正アクセス | 同サイトに登録していた利用者のメールアドレスやログインID、暗号化されたパスワード(件数不明) | |
| 36 | 大阪府 | 資料紛失 | 府職員176人分の氏名や携帯電話番号14件のほか、関係市町村職員53人分の氏名、契約業者の従業員19人分の氏名と携帯電話番号など |
職員が帰宅途中に飲食店で飲酒。帰宅せず付近の路上で眠り、翌日早朝に携帯していた鞄の紛失に気付く。
2日後に拾得者から連絡があり、回収。 |
| 37 | 国立大学 | HD紛失 | 研究室員15人の氏名、住所、電話番号、緊急連絡先を含むファイルと、担当科目を履修している大学院生38人の履修状況 | 通勤電車内でハードディスクの入った鞄を紛失 |
| 38 | 保健福祉センター | 書類紛失 | 「医療保護入院者の入院届」「医療保護入院者の定期病状報告書」「措置入院者の定期病状報告書」などの届出書類うち、記載事項の不備により病院に返送扱いとなった一部書類で、病状など含む患者の個人情報が記載 | 誤廃棄の可能性 |
「24」は、内部関係者が重要情報を不正に閲覧していた事案で、大阪市は3月9日、職員56人が業務外で著名人や知人らの戸籍を不正に閲覧していたと発表しています。昨年2月に戸籍事務を担当する職員2人が、市長や著名人らの戸籍情報に不正アクセスしていたことが発覚したことを受け、市の外部監察チームが調査し報告されました。また、端末操作の研修の際にも戸籍を閲覧していたことも判明しており、大阪市は職員の研修を徹底する考えを示しています。閲覧した動機は、ほとんどが興味本位や個人利用目的だったとされています。
本事案は、正規の権限を与えられた人物が不正に情報を閲覧しており、アクセス制御では防ぎようがありません。市民局によると、調査対象の職員は平成22~25年度に戸籍情報システムへのアクセス権限が与えられた980人としています。
内部不正を抑止する目的は、内部不正によるロスの極小化にあります。この点、過去の個人情報漏えいの等に関するインシデント報告等を見ても、内部不正にかかる情報漏洩で被害の大きいケースは、「正当な」アクセス権限を持つ人物が「正当な」作業手順で、「不当に」データ収集・持ち出しを故意に行ったというケースです。
本事案等の対策を検討するにあたっては、従業員の意識や情報モラルも当然重要だと思いますが、組織としてまずは資産である情報の重要性とその脅威を明確にし、「アクセス権限を持つ人物を最小限に留める」「退職者など、アクセス権限保持者に異動があった場合には速やかにそのIDとアクセス権を削除する」「アクセス状況をモニタリングする」などの基本的な部分をあらためて確認してみる必要があります。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail: souken@sp-network.co.jp
TEL: 03-6891-5556
