ラックと個人情報保護委員会で起こったヒューマンエラーによる情報漏洩

先日、日本のセキュリティの権威である２つの組織から情報漏洩事故が発表されました。
一つは1月14日に発表された株式会社ラック（参考：当社より流出した過去の情報について | セキュリティ対策のラック）、もう一つは1月18日に発表された個人情報保護委員会（参考：個人情報の漏えいについて(令和４年１月18日) ｜個人情報保護委員会）です。

「ヒューマンエラー」という二つの事故の共通点

この二つの事件の共通点は、サイバー攻撃ではなく、ヒューマンエラーが原因であるという点です。
ラックの情報漏洩事故の原因は元社員が業務上のファイルをバックアップした自宅PCのハードディスクをフリーマーケットへ売却したこと、そして個人情報保護委員会の情報漏洩事故の原因はパブリックコメントへ提出された意見をサイト上に公開する際に提出者の個人情報の削除せずに公開してしまったことでした。

この二つの事件は既に事故への対処、再発防止策を提示などの根本対策を完了しています。

セキュリティの意識が高くてもヒューマンエラーはなくならない

コンサルティングやサイバー攻撃の監視など、セキュリティの最前線で活躍する民間企業のラック、個人情報やマイナンバーの取り扱いを監視・監修する個人情報保護委員会は、共に日本のセキュリティについて権威ある組織にも関わらず今回のような事故が発生しました。

この事件から、どんな人間や組織であっても不注意やミスなどのヒューマンエラーは起こり得るということを再認識しました。特にセキュリティに関しては、リテラシや意識が高くても、情報漏洩が発生し得るということを学ぶ必要があると感じました。

ヒューマンエラーを前提としたセキュリティ対策を

日本ネットワークセキュリティ協会（JINSA）による「2018年情報セキュリティインシデントに関する調査報告書」では、漏洩の二大原因は26.2%の「紛失・置忘れ」と24.6%の「誤操作」が挙げられ半分以上を占めています。その他のヒューマンエラーとして挙げられている12.2%の「管理ミス」と3.6%の「設定ミス」も含めると66.6%で全体の3分の2になり、発生している情報漏洩の多くがヒューマンエラーによるものであることが分かります。