尼崎市で公用スマホ紛失、「スマホを落としただけなのに」では済まされない情報漏洩
2022年12月13日、兵庫県尼崎市の職員が、個人情報を含む公用スマートフォンを紛失したことを公表しました。※1 紛失したスマートフォンには市民の電話番号2件、LINEの連絡先50件程度、さらに講座やイベントの写真・動画などが複数件登録されていました。
尼崎市では先月28日、6月に起きたUSBメモリー紛失事案に関する調査報告書を公開したばかりでした。※2
事件の経緯
尼崎市によると、12月8日(木)21時頃に帰宅した職員は公用スマートフォンを所持していないことに気が付きましたが、その場では職場に置いて帰ったと判断しました。翌日9日(金)は事前に承認されていた休暇を取得していたため、翌週12日(月)に出勤し職場内を捜索しましたが見つからず、上司に紛失したことを報告したとのことです。その日の内に警察署への遺失物届の提出と携帯電話会社へのスマートフォン使用停止手続きが行われました。また、SNS(LINE)事業者にアカウント削除を要請しました。
なお、紛失したスマートフォンにはパスワードによるセキュリティロックが掛かっているとのことです。
尼崎市は再発防止策として、勤務時間外における公用スマートフォンの管理徹底と、職務上取り扱う情報についての管理徹底、またあらためて注意喚起を行うとしています。
電子機器の紛失を防ぐことは可能か
尼崎市では今年6月に業務委託先であるBIPLOGY株式会社の無断再々委託先の従業員が全市民46万人分の個人情報が含まれるUSBメモリーを紛失する事案が発生し、大きな話題となっていました。詳しい内容は弊社コラム「兵庫県尼崎市、全市民46万人分の個人情報が含まれるUSBを紛失」をお読みください。
漏洩の規模は大きく異なりますが、前回の事案からわずか半年後にまた同じような電子機器の紛失事案を起こしてしまったことに対して、世間からは多くの批判が集まっています。
しかし、スマートフォンやUSBメモリーなどの持ち運ぶことを前提としている電子機器を絶対に紛失しないことなど可能なのでしょうか。勿論、従業員への教育や意識を高めるための注意喚起を行うことは必要な事ではありますが、人間である以上、「つい、うっかり」を無くすことは中々できるものではありません。
企業が情報漏洩を防ぐためには、紛失を無くそうと考えるだけに留まらず、紛失は必ず起こるものとし、紛失を前提とした対策も同時に行っていくべきです。
紛失は必ず起こると想定して対策を
尼崎市は6月に発生したUSBメモリー紛失事案について、11月28日に調査報告書を公開していました。報告書を見ると、USBメモリーはパスワード認証や暗号化などのセキュリティ機能を有しており、ログ等も確認できるようになっていました。
漏洩事案が起きた当時、記者会見の際に尼崎市の担当者が会見でパスワードの桁数を明かしてしまうという一幕があり、SNS上ではパスワードが簡単に予測できる単純なものに設定されているのではないかと疑る声もありましたが、実際にはそうではなく、文字種が多彩でブルートフォース攻撃に対し耐性の高いパスワードが設定されていたということです。また、ログ等を調べた結論として、USBメモリーに対して正しいパスワードが入力されてログインされた形跡はなく、個人データの漏洩は認められませんでした。もし、パスワード認証や暗号化によるセキュリティが施されていなければ、さらに実際に個人データの漏洩が起きていれば、本事案の被害の規模は現在と比較できないほど大きなものになっていたことは間違いありません。
尼崎市の事案は業務委託先のビプロジーが無断で再委託をしていたことなど複数の問題が同時に発覚したため非常に深刻化してしまいましたが、結論だけ見れば情報漏洩は起きていませんでした。これは非常に重要なことで、本質的には紛失自体が問題なのではなく、紛失した結果、情報漏洩を引き起こしてしまうことが問題なのです。実際、紛失そのものを防ぐのは非常に難しく、これを実現しようとすると、例えばUSBメモリーを一切使用禁止にするなどの実際の業務にそぐわない「セキュリティのためのセキュリティ」が推奨されることとなりますが、これは企業の利益追求、または自治体などにおける市民サービスの低下に繋がる可能性もあります。情報漏洩対策をしているのであれば、紛失そのものを過度に責めるべきではありません。
情報漏洩という最悪の事態を防ぐためには、必ず紛失を前提とした対策、USBメモリーや中身のファイルの暗号化、スマートフォンであればパスワードコードや紛失防止タグによる対策を行うべきです。取引先やお客様の個人情報を預かっている以上、決して「スマホを落としただけ」では済まされないのです。
あわせて読む
参考
※1 地域振興推進業務における個人情報を含む公用スマートフォンの紛失について | 尼崎市 2022年12月13日
※2 尼崎市 USB メモリ―紛失事案に関する調査報告書 | 尼崎市USBメモリー紛失事案調査委員会 | 2022年11月28日