こんばんは。みずほ銀行ATM事件やIIJmio新料金プランの続きに関しては、近日中に書いてみる予定です。少々お待ち下さい。<(_ _)>
今回気になったネタはこちらです。前橋市まちづくり公社での情報漏洩事件です。こちらはcybersecurity-jp.comからの記事です。
約700名のマイナンバーデータ等を紛失したそうです。一番漏れたら拙いとされるマイナンバーを記録したUSBメモリが行方不明だそうです。
ここもいろいろとツッコミどころがあります。
- USBメモリに個人情報を書き込んでいたという点
- USBメモリに簡単に書き出せるような情報管理体制
- 個人の引き出しに重要なデータが記録されたUSBメモリが保管されていた点
- 端末間のデータのやり取りにUSBメモリが使われていた点
- 「職員の教育から情報保護体制の整備」が対策だという点
USBメモリを使っている点で情報管理としてはかなり問題ではないでしょうか。遅かれ早かれ問題は起きていたと考えられます。年末調整用端末とマイナンバー取扱用端末のネットワークが物理的に分離されていたのではないかと推察します。そこでUSBメモリを使ってデータ受け渡しをしていたのだろうと考えられます。
これも「ネットワークを閉じていれば大丈夫」という思考停止した事例でしょう。近視眼的な物理的セキュリティにしか意識が回ってなくて、実はとんでもない大きな穴を開けて運用しているということを誰も指摘出来なかった(気づかなかった)ということでしょうか。
USBメモリを個人の引き出しに保管しているという点も危機管理がなってないというのもあります。こういうものは別途鍵のかかる金庫などに補完すべきでしょう。少なくとも。本来なら、複数のネットワークを物理的に統合して、VLANで論理的に分割し、FWやルータなどでアクセスコントロールするところですが、片方がLGWANだったりとかで、勝手に出来ないとかいう事情もあったのかもしれません。
個人的に気になっているのは、最後の項目です。「職員の教育から情報保護体制の整備」は、もしかすると、「金のかかるシステム的対応はしない」と明言しているのではないか?と勘繰ってしまいます。本当に大事なのはそこなんじゃないかと考えます。人が行う作業というのは、どうしてもミスを起こすことは避けられません。システマティックな対応を行うことが本来の意味での改善につながるはずです。職員の教育だけでなんとかなるという代物ではないはずです。精神論は令和の時代にはふさわしくありません。昭和の遺物として置いてくるべきではないでしょうか。