さいたま市で生徒個人情報を含む個人所持のUSBメモリ紛失
こんばんは。今回はさいたま市でのUSBメモリ紛失に関する記事です。ScanNetSecurityからです。
上記の記事で問題な点を挙げてみました。以下の通りです。
- 個人情報を書き込んだUSBメモリを紛失したこと
- 私物のUSBメモリを使用していたこと
- PCのUSB端子接続制限や、公用USBメモリ利用がなされていたのか?
- 情報セキュリティポリシーはどうなっていたのだろうか?
- 情報システムの設計はどうなっていたのだろうか?
- 「持ち帰り残業」をせざるを得ない状況に陥っているのではないか?
ざっと思いついた点を書き出してみました。上記記事だけでは判断出来ない部分も多いですので、推測を含む部分が多くなります。御容赦下さい。
1.ですが、USBメモリの管理をどうしていたのだろうという点です。簡単にPCから書き出せて持ち歩けるようになっているのでしょうか。重要な情報を記録しているUSBメモリであるという意識が希薄だったのでしょうか。
2.が信じられないです。「当該教諭が所有するUSBメモリ」という記述から、この教諭の私物を使用していたのだろうと推測出来ます。私物のUSBメモリを職場PCに挿せてしまって、情報を記録出来ること自体が問題ではないでしょうか。悪意があれば、簡単に個人情報を書き出して持ち帰れてしまうことになります。そうだとは思いたくないですが、そうだとしたらさすがに拙いでしょう…。
実は、3.がグダグダになっているのではないかと推測しています。そもそも2.のように、私物USBメモリを許可していることに問題があります。「予算がないから」という言い訳がよくなされますが、業務で必要なものです。これは私物ではなく、きちんと公費で手当てすべきでしょう。私物では管理しにくい面がありますが、公費で購入したUSBメモリであれば管理もしやすいはずです。
そして、PCのUSB端子から特定USBメモリのみしか接続を許可しないというようなことは出来ていないのではないでしょうか。ベンダ側は「制限しましょう」と言っていても、発注側が「いや、それは困る…」というようなことを言っていたりしてなかったかが気になります。
4.ですが、まさか「ない」ってことはないでしょうね…。あったとしても、形骸化して機能していないという点を危惧しています。まがりなりにもセキュリティポリシーが存在したら、私物USBメモリを挿してデータをコピーしたりはしないのではないでしょうか。(「予算がないから私物を使って…」と上司が言っていたら、上司や学校・教育委員会側がアウトですよね)
形だけ作って魂入れずというようなことになってないことを信じたいです。
5.は校内ネットワーク内で完結するような仕組みになっていなかったのでしょうか。NASなりファイル共有サーバにデータを保管しておいて、別のPCから使う場合はこれらの機器にアクセスするような仕組みであれば要らないように思われます。
ここは推測ですが、LGWANとの兼ね合いがあるのではないでしょうか。ネットワーク接続されていない複数のネットワーク間での情報のやり取りのためにUSBメモリを使っているのではないかと見ています。だとしたら拙いですよね。「事故を起こさないようにする仕組み」をシステム側で提供出来るようにしてないのはダメだったのではないでしょうか。
もしかすると、諸悪の根源は6.ではないでしょうか。そういうことはないとは信じたいのですが、働き方改革の影響で職場で残業出来なくなった結果の持ち帰り…ということはないでしょうか。
記事のボリュームは少ないですが、いろいろな問題点が透けて見えた記事でした。