本当に怖い情報漏洩事故・USBメモリに個人情報を入れるな!

動画
スポンサーリンク

初出:2022/06/23

くられ
くられ

うわー何この事件、前に動画でやったけど、情報セキュリティの現場猫特盛りじゃないのこれ?

Joker
Joker

どれどれ・・・情報漏洩事故ですか。うわっ何これ、教科書があったら載るほどマシマシじゃないですか。

くられ
くられ

動画の件もだいぶアレな感じにリアルだったけど、これもだいぶアレだね。何、酔っ払って路上で寝てたとか。

Joker
Joker

いや、私も酔いつぶれた事はありますからそこはまあいいですけど、問題はデータの取り扱いですよね。どこが悪かったのか見ていきましょうか。

尼崎市のセキュリティインシデントに学ぶ「情報漏洩」

2022年6月21日、兵庫県尼崎市で大規模な個人情報の漏洩事故が起きました。

全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表 | NHK
【NHK】兵庫県尼崎市は、すべての市民46万人余りの個人情報が入ったUSBメモリーを紛失したと発表しました。住民税や生活保護の受給…
尼崎市 全市民46万人余の個人情報入ったUSBメモリー紛失|NHK 兵庫県のニュース
尼崎市は、46万人あまりのすべての市民の個人情報が入ったUSBメモリーを紛失したと発表しました。 住民税や生活保護の受給に関する情報などが…
USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露 ネット騒然 「悪例として最高の手本」
市民46万人分の個人情報が入ったUSBメモリを紛失した尼崎市の記者会見が波紋を呼んでいる。USBメモリに設定されたパスワードの桁数を職員が話してしまったからだ。ネットでは「セキュリティの悪例として最高の手本」など批判が続出している。

尼崎市の全市民46万人余の個人情報が入ったUSBメモリを紛失した、というもの。

USBメモリは暗号化されていて今のところ漏洩は起きていない、という話ですが、この件は情報セキュリティの教科書があれば載せたいくらいの、絵に描いたような事故です。

いわゆる現場猫案件。それも全マシ。その後の対応までダメダメなので、要点に触れていこうと思います。

スポンサーリンク

身近に溢れる情報流出の危機!【薬理凶室対談シリーズ】

本題に触れる前に、遡る事1年ちょっと前に公開した動画を紹介させてください。

以前、対談動画でUSBメモリに個人情報を、それも人から預かっているものを入れて紛失したりすると大事故でエラい事になるよ、という話をしたものです。そして、実際にエラい事になってしまったのが尼崎の件です。

動画では、仕事を家に持ち帰らざるを得なくて、資料作ったは良いけど、データを入れたままのUSBメモリをなくしちゃった・・・という「たとえ話」をしました。

もうそれだけで「ヤベーーー!」というのはおわかり頂けると思うんですが、まさか一年ちょっと後に現実の方でもっと、作話にしても説得力がなくなりそうなほどのどうしようもない事例が出てくるとは思わなかったです(笑)

スポンサーリンク

一連の流れをざっくりまとめてみる

尼崎の件の流れをざっくり見てみましょう。既にTwitterなどで概略からツッコミどころまで話題になっていますが、まあこちらでも整理のためにということで。

  • 出入りの業者がデータ移管作業を行っていた
  • 作業のためにUSBメモリに個人情報をコピーして持ち出し(市の許可なし)
  • 作業終了後にデータの削除をしなかった
  • そのまま飲みに行って泥酔して路上で起きカバンを紛失した事に気付く
  • 記者会見で市職員がデータの暗号化に使われたパスワードの構成を漏らす

いやあ、ビックリするほど情状酌量の余地がありません。役満とか満漢全席とか言われても仕方ないよね。データの暗号化がされていて、即座に流出とならなかったのが不幸中の幸い。

スポンサーリンク

悪いところを考えてみる

では、この件で悪いところを考えてみましょう。答えは「全部」なんですが、それだとアレなので、一個ずつね。

USBメモリに個人情報をコピー。それも無許可で持ち出し。

USBメモリに個人情報入れて持ち出しするのは紛失の危険があったりするのでダメだというのは動画で触れた通りです。無許可で持ち出しも当然アウト・・・ですが、この辺は市の方がどういうルールで運用していたかわからんので保留。

より正確には市も業者もアウトって感じです。だって漏洩事故起きちゃってるんだもん。

作業終了後にデータの削除をしなかった

この手の情報の取り扱いは、作業が終わった後にデータを削除するのが鉄則だと思います。それでもデータの痕跡が残るくらいですし。暗号化したからいいだろは通りません。

スポンサーリンク

飲食店にデータを持ち込んであまつさえ泥酔してカバンごと紛失する

論外です。

ただ、データを持ち出したまま飲みに行かなければカバンをなくしても個人の責任の範囲内で収まったはずです。

記者会見でパスワードの構成を漏らす

追撃も良いところです。

パスワードの構成ってこの場合、何桁のパスワードで保護されており安全です・・・みたいな話ですが。

具体的に何桁のパスワード使ってますとかバラしたら、それだけで特定しやすくなるでしょ。馬鹿なの?

スポンサーリンク

総括

というわけで、ケチョンケチョンに言ってしまいましたが、いやまあ、酷いもん、実際。

市曰く「セキュリティマネジメントを徹底していくとともに個人情報保護の重要性について改めて周知を徹底し、職員の危機意識を高めるなど信頼回復に全力を尽くします」とのことですが。

まあまず記者会見に出てる人がうっかりパスワードの構成を喋ってしまったりしないように意識を高めてください。

最後に個人情報保護委員会の「個人データの漏えい等の事案が発生した場合等の対応について」をご紹介して終わりといたします。

個人データの漏えい等の事案が発生した場合等の対応について |個人情報保護委員会
個人情報保護委員会のホームページです。個人データの漏えい等の事案が発生した場合等の対応について、対象や事案発覚時に講ずべき措置、報告について掲載しています。
スポンサーリンク

関連記事

データの完全消去の話

QRコード詐欺について

二段階認証の仕組み

システムの平和を守る仁義なきSEの苦悩

シャドウバンとは何か

画像のねつ造の話

薬理凶室対談動画まとめ

対談動画解説のまとめ

対談動画解説
「対談動画解説」の記事一覧です。
タイトルとURLをコピーしました