サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

日本郵政情報漏洩問題から考える<ヒューマンエラーへの対策とは>



jp

2015年6月10日、日本郵政は取引先であった建設業関係者の情報約7500点が、同建設業関係者約7500人に対し一斉に漏洩してしまったとの発表を行いました。

この事件は、システム上の不備やハッカーによる作為的なサイバー攻撃ではなく、従業員の単純ミスにより情報漏洩が起こってしまったのです。そして、事件を起こした日本郵政に対し、多くのメディアが情報管理体制の杜撰さを糾弾しました。

しかし、いくらサイバーセキュリティ分野の技術革新が行われ、精度の高いソリューションを導入したとしても、取り扱う人間のミス、”ヒューマンエラー”を100%防ぐことは出来ません。

今回は、日本郵政の情報漏洩事件から、ヒューマンエラーに対する効果的な対策について考えてみたいと思います。

事件概要

事件当時、日本郵政では同社が提供している「建築工事発注情報メールサービス」への登録業者約7500件を、エクセルファイルにまとめ、管理を行っていました。

この情報が、同社不動産部門の職員によってメールに添付され、メールサービス登録業者約7500件それぞれへ一斉に誤送信されてしまったのです。

漏洩した情報

・登録者名
・メールアドレス
・電話番号
・住所

誤送信から約2時間後、情報が添付された状態であったことが判明。同社ではメールが誤送信された約7500件の建築関連業者に対し、情報の削除を依頼しています。

事件後の対応

情報漏洩後、比較的速やかに事件の把握と対処が行われたため、この漏洩による二次被害の報告は現在までなされていません。日本郵政ではHPで事件の詳細を公式に発表し、情報管理の強化、再発防止に努めるとの報告をしています。

また、この事件を受け総務省では日本郵政に対し、事件の全容把握、被害状況の確認及び再発防止策の報告を求めるとともに、個人情報が含まれるデータファイルについてはパスワード設定の上管理する事などといった、情報管理に関する基本的教育を日本郵政職員(派遣社員等含む)に対し行うよう指導しています。

「情報漏えい問題への対応について(要請)」に関する総務大臣への報告

事件の問題点

この事件では、守られるべき情報に対し何のセキュリティ対策も行われていなかったという点が最大の問題点です。

大量の個人情報が、セキュリティ対策の施されていない職員のPC内に保管され、パスワード設定や暗号化がなされることなく、外部へ送信出来てしまったという状況は、企業としてセキュリティ観念が欠如していると言えます。

日本郵政では、この事件以前にもヒューマンエラーによる大規模情報漏洩事件が起こっています。

2007年ーUSBメモリ持ち出しで29万人分の顧客情報が盗難

2007年2月、郵便振替口座情報約29万件が記録されたUSBメモリが職員により持ち出され、車上荒らしに遭い盗難されてしまったのです。

同社では顧客データの持ち出しが禁止されていた為、発覚を恐れた職員は盗難により紛失したことを職場に報告しておらず、事件の把握、対策が遅れました。

この事件の際にも、再発防止策として”情報管理の徹底”や”従業員教育の充実”を掲げていましたが、実態は何も変わっておらず、2015年、メール誤送信による情報漏洩に至ります。

ヒューマンエラーは必ず起こる!

jp2

今回の事件の様なメールの誤送信や、宛先間違い、添付書類間違いなど、細かな人為的ミスはどの企業でも日常的に起こっているものです。
ですので、”確認は慎重に行いましょう”などといった意識改革では十分な対策とは言えません。

企業は、人為的ミスは起こるものと考えた上で、そのミスが情報漏洩の直接的な引き金にならないよう段階的な策を講じるべきなのです。

今回の事件で言えば、まず個人情報が含まれるデータは、セキュア環境が保証された別の場所で保管が行われるべきです。また、ファイルを開くためのパスワードを設置し、誤って対象者以外へ送信された場合でもパスワードを知らないと開けないような仕様にしておくべきだったのです。

近年では、ファイルを送信後でも管理・削除が行えるような追跡型のソリューションも登場していますので、その様な製品を導入する事もおすすめです。

情報が売買される現代において、企業が起こしてしまう”情報漏洩”は金銭的・社会的ダメージが非常に大きく、また”顧客からの信頼”といった金銭では得る事の出来ない大きな価値を失いかねない事象です。

同じ事件を繰り返さない様、日本企業一体となったセキュリティ意識の向上が求められています。





  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。