jp

2015年6月10日、日本郵政は取引先であった建設業関係者の情報約7500点が、同建設業関係者約7500人に対し一斉に漏洩してしまったとの発表を行いました。

この事件は、システム上の不備やハッカーによる作為的なサイバー攻撃ではなく、従業員の単純ミスにより情報漏洩が起こってしまったのです。そして、事件を起こした日本郵政に対し、多くのメディアが情報管理体制の杜撰さを糾弾しました。

しかし、いくらサイバーセキュリティ分野の技術革新が行われ、精度の高いソリューションを導入したとしても、取り扱う人間のミス、"ヒューマンエラー"を100%防ぐことは出来ません。

今回は、日本郵政の情報漏洩事件から、ヒューマンエラーに対する効果的な対策について考えてみたいと思います。

事件概要

事件当時、日本郵政では同社が提供している「建築工事発注情報メールサービス」への登録業者約7500件を、エクセルファイルにまとめ、管理を行っていました。

この情報が、同社不動産部門の職員によってメールに添付され、メールサービス登録業者約7500件それぞれへ一斉に誤送信されてしまったのです。

漏洩した情報

・登録者名
・メールアドレス
・電話番号
・住所

誤送信から約2時間後、情報が添付された状態であったことが判明。同社ではメールが誤送信された約7500件の建築関連業者に対し、情報の削除を依頼しています。

事件後の対応

情報漏洩後、比較的速やかに事件の把握と対処が行われたため、この漏洩による二次被害の報告は現在までなされていません。日本郵政ではHPで事件の詳細を公式に発表し、情報管理の強化、再発防止に努めるとの報告をしています。

また、この事件を受け総務省では日本郵政に対し、事件の全容把握、被害状況の確認及び再発防止策の報告を求めるとともに、個人情報が含まれるデータファイルについてはパスワード設定の上管理する事などといった、情報管理に関する基本的教育を日本郵政職員(派遣社員等含む)に対し行うよう指導しています。

「情報漏えい問題への対応について(要請)」に関する総務大臣への報告

事件の問題点

この事件では、守られるべき情報に対し何のセキュリティ対策も行われていなかったという点が最大の問題点です。

大量の個人情報が、セキュリティ対策の施されていない職員のPC内に保管され、パスワード設定や暗号化がなされることなく、外部へ送信出来てしまったという状況は、企業としてセキュリティ観念が欠如していると言えます。

日本郵政では、この事件以前にもヒューマンエラーによる大規模情報漏洩事件が起こっています。

2007年ーUSBメモリ持ち出しで29万人分の顧客情報が盗難

2007年2月、郵便振替口座情報約29万件が記録されたUSBメモリが職員により持ち出され、車上荒らしに遭い盗難されてしまったのです。

同社では顧客データの持ち出しが禁止されていた為、発覚を恐れた職員は盗難により紛失したことを職場に報告しておらず、事件の把握、対策が遅れました。

この事件の際にも、再発防止策として"情報管理の徹底"や"従業員教育の充実"を掲げていましたが、実態は何も変わっておらず、2015年、メール誤送信による情報漏洩に至ります。

ヒューマンエラーは必ず起こる!

jp2

今回の事件の様なメールの誤送信や、宛先間違い、添付書類間違いなど、細かな人為的ミスはどの企業でも日常的に起こっているものです。
ですので、"確認は慎重に行いましょう"などといった意識改革では十分な対策とは言えません。

企業は、人為的ミスは起こるものと考えた上で、そのミスが情報漏洩の直接的な引き金にならないよう段階的な策を講じるべきなのです。

今回の事件で言えば、まず個人情報が含まれるデータは、セキュア環境が保証された別の場所で保管が行われるべきです。また、ファイルを開くためのパスワードを設置し、誤って対象者以外へ送信された場合でもパスワードを知らないと開けないような仕様にしておくべきだったのです。

近年では、ファイルを送信後でも管理・削除が行えるような追跡型のソリューションも登場していますので、その様な製品を導入する事もおすすめです。

情報が売買される現代において、企業が起こしてしまう"情報漏洩"は金銭的・社会的ダメージが非常に大きく、また"顧客からの信頼"といった金銭では得る事の出来ない大きな価値を失いかねない事象です。

同じ事件を繰り返さない様、日本企業一体となったセキュリティ意識の向上が求められています。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。