初出:2022/06/23
うわー何この事件、前に動画でやったけど、情報セキュリティの現場猫特盛りじゃないのこれ?
どれどれ・・・情報漏洩事故ですか。うわっ何これ、教科書があったら載るほどマシマシじゃないですか。
動画の件もだいぶアレな感じにリアルだったけど、これもだいぶアレだね。何、酔っ払って路上で寝てたとか。
いや、私も酔いつぶれた事はありますからそこはまあいいですけど、問題はデータの取り扱いですよね。どこが悪かったのか見ていきましょうか。
尼崎市のセキュリティインシデントに学ぶ「情報漏洩」
2022年6月21日、兵庫県尼崎市で大規模な個人情報の漏洩事故が起きました。
尼崎市の全市民46万人余の個人情報が入ったUSBメモリを紛失した、というもの。
USBメモリは暗号化されていて今のところ漏洩は起きていない、という話ですが、この件は情報セキュリティの教科書があれば載せたいくらいの、絵に描いたような事故です。
いわゆる現場猫案件。それも全マシ。その後の対応までダメダメなので、要点に触れていこうと思います。
身近に溢れる情報流出の危機!【薬理凶室対談シリーズ】
本題に触れる前に、遡る事1年ちょっと前に公開した動画を紹介させてください。
以前、対談動画でUSBメモリに個人情報を、それも人から預かっているものを入れて紛失したりすると大事故でエラい事になるよ、という話をしたものです。そして、実際にエラい事になってしまったのが尼崎の件です。
動画では、仕事を家に持ち帰らざるを得なくて、資料作ったは良いけど、データを入れたままのUSBメモリをなくしちゃった・・・という「たとえ話」をしました。
もうそれだけで「ヤベーーー!」というのはおわかり頂けると思うんですが、まさか一年ちょっと後に現実の方でもっと、作話にしても説得力がなくなりそうなほどのどうしようもない事例が出てくるとは思わなかったです(笑)
一連の流れをざっくりまとめてみる
尼崎の件の流れをざっくり見てみましょう。既にTwitterなどで概略からツッコミどころまで話題になっていますが、まあこちらでも整理のためにということで。
- 出入りの業者がデータ移管作業を行っていた
- 作業のためにUSBメモリに個人情報をコピーして持ち出し(市の許可なし)
- 作業終了後にデータの削除をしなかった
- そのまま飲みに行って泥酔して路上で起きカバンを紛失した事に気付く
- 記者会見で市職員がデータの暗号化に使われたパスワードの構成を漏らす
いやあ、ビックリするほど情状酌量の余地がありません。役満とか満漢全席とか言われても仕方ないよね。データの暗号化がされていて、即座に流出とならなかったのが不幸中の幸い。
悪いところを考えてみる
では、この件で悪いところを考えてみましょう。答えは「全部」なんですが、それだとアレなので、一個ずつね。
USBメモリに個人情報をコピー。それも無許可で持ち出し。
USBメモリに個人情報入れて持ち出しするのは紛失の危険があったりするのでダメだというのは動画で触れた通りです。無許可で持ち出しも当然アウト・・・ですが、この辺は市の方がどういうルールで運用していたかわからんので保留。
より正確には市も業者もアウトって感じです。だって漏洩事故起きちゃってるんだもん。
作業終了後にデータの削除をしなかった
この手の情報の取り扱いは、作業が終わった後にデータを削除するのが鉄則だと思います。それでもデータの痕跡が残るくらいですし。暗号化したからいいだろは通りません。
飲食店にデータを持ち込んであまつさえ泥酔してカバンごと紛失する
論外です。
ただ、データを持ち出したまま飲みに行かなければカバンをなくしても個人の責任の範囲内で収まったはずです。
記者会見でパスワードの構成を漏らす
追撃も良いところです。
パスワードの構成ってこの場合、何桁のパスワードで保護されており安全です・・・みたいな話ですが。
具体的に何桁のパスワード使ってますとかバラしたら、それだけで特定しやすくなるでしょ。馬鹿なの?
総括
というわけで、ケチョンケチョンに言ってしまいましたが、いやまあ、酷いもん、実際。
市曰く「セキュリティマネジメントを徹底していくとともに個人情報保護の重要性について改めて周知を徹底し、職員の危機意識を高めるなど信頼回復に全力を尽くします」とのことですが。
まあまず記者会見に出てる人がうっかりパスワードの構成を喋ってしまったりしないように意識を高めてください。
最後に個人情報保護委員会の「個人データの漏えい等の事案が発生した場合等の対応について」をご紹介して終わりといたします。
著者紹介
アリエナイ理科ポータル管理人にしてメルマガ編集、配信担当。
薬理凶室の裏方にいる四ツ目の悪魔。
https://twitter.com/JokerLunatic
Joker執筆の記事一覧
アリエナイ理科ポータル管理人にしてメルマガの編集、配信担当「Joker」。日々、ポータル記事を更新していますが、記事を執筆することもあり、その一覧となります。メインはお酒にまつわる話。またたまに情報技術に関してのTipsもあります。
関連記事
データの完全消去の話
QRコード詐欺について
二段階認証の仕組み
システムの平和を守る仁義なきSEの苦悩
シャドウバンとは何か
画像のねつ造の話
薬理凶室対談動画まとめ
対談動画解説のまとめ
宣伝
ニコニコ動画にて有料チャンネル「科学はすべてを解決する!! ニコニコ秘密基地」を開設しました!
新刊「アリエナイ理科ノ大事典3」、ついに発売されました!
くられ先生の単著「アリエナイ毒性学事典」好評発売中です!
工作系に特化した「アリエナイ工作事典」好評発売中です!
「アリエナイ理科ノ大事典」改訂版が発売中です!
「アリエナイ理科ノ大事典2」、好評発売中です。
