昨今では、情報漏洩が報道されることが多い。そして、経営者としては、情報システム部門に漏洩を防げ!と命令する。USBメモリで情報持ち出しが問題になれば、USBメモリの使用を禁止するという本質的ではない、まったく意味の無い対応をすることも少なくない。
コールセンターはNTTマーケティングアクトProCX(プロクス、大阪市)が企業や自治体から請け負い、サーバー管理を担うNTTビジネスソリューションズ(大阪市)の元派遣社員がUSBメモリーを使って持ち出した
NTT西日本系、顧客情報流出は928万件 顧客は69団体 – 日本経済新聞 (nikkei.com)
国立病院機構茨城東病院(茨城県東海村)は22日、院内で患者延べ6138人の個人情報が入ったUSBメモリーを紛失したと発表した。この日までに第三者への流出や不正利用は確認されていないという。
茨城東病院、患者の個人情報入ったUSBメモリー紛失 (msn.com)
などなど。
USBメモリの利用制限が本質的な解決方法にならない理由は”情報漏洩”の定義にあり
確かにUSBメモリは情報の持ち出しに便利なデバイス。大量のデータを持ち出すのも簡単。では、USBメモリでないと情報は持ちだせないのか?といえば、そんなことはない。画面に表示されたデータをスマホで撮影したり、紙に手書きしても、そのスマホや紙を紛失すれば漏洩の可能性がある。
漏洩したデータが1件であっても、USBメモリを使って大量でも、漏洩は漏洩。少量のデータだから漏洩にならないということにはならない。では、紙の利用は制限するか?といったら、漏洩したから紙の利用を制限したなんて話はきかない。
いずれも内部監査において、お客さま情報が記載されている書類の紛失が判明しました。
お客さま情報が記載された書類の紛失について (shimanami-shinkin.jp)
紛失した経緯は明らかになっておりませんが、個人情報管理態勢および文書管理が厳正に行われていないことから、紛失するリスクがありました。
このしまなみ信用金庫の書類紛失事件でも、その後、書類の使用は禁止していない(当然だけれども)。
適切な情報漏洩防止対策はシンプル
再発防止策は、以下の通り。
当金庫は、今回の事態を重く受け止め、全職員に対し、個人情報管理および文書管理に関する周知・教育を改めて実施いたします。
お客さま情報が記載された書類の紛失について (shimanami-shinkin.jp)
このケースに限らず、情報漏洩経路が、書類なのかUSBメモリなのかは、実はどうでもよくて、上記の例のように、再発防止は、「個人情報管理および〇〇管理に関する周知・教育」なのだ。〇〇には、書類やUSBメモリ以外に、オンラインストレージなども該当する。