兵庫県尼崎市で発生した、住民税納税状況を含む約46万人の個人情報がUSBメモリによって持ち出され、カバンごと紛失事件は、「特別定額給付金」の業務にあたる業者が市の許可を得ず、USBメモリを利用して持ち出したことが報告されています。

「特別定額給付金」業務に利用するための作業の後、USBメモリのデータを消去せず持ち歩き、酒に酔って、USBメモリの入ったカバンごと紛失にいたったとのことです。

ニュース報道においては、特定なケースとはいえ各自治体で個人情報データを物理的なメディアを使って持ち出しが行われている実態が明らかになっています。自治体から業者へ委託する業務には個人情報データを利用する業務が含まれていますが、様々な事情から現在でも外部メディアを利用して受け渡しされていることも浮き彫りにされていました。

さらに業務を委託する業者が変更されることが少ないことから、自治体の担当者よりシステムに精通していて個人情報の取り扱いについて承諾などのステップがないことも報道されています。

今回の事件を受けて宮城県のある自治体ではApple社のAirTagを個人情報を外部メディアで持ち出す際のカバンに取り付けるとしています。AirTagはiPhoneなどとBluetoothで通信して位置情報を把握してそのの位置を判定できるものなので、把握できる位置は限定的になると考えます。しかし何も手段を講じないよりはよいのかもしれません。

一般的にセキュリティポリシーを定めている企業においては、USBメモリんどの外部メディアへ情報を書き出しすることを制限するツールを利用しているケースが多いと思います。しかし、自治体同様に必要に応じて申請などにより外部メディアへの書き出しを一定時間許可するような運用を行っている場合があります。

申請が行われて、外部メディアへ書き出しされる場合にはその利用者を性善説により信頼して行われていると思います。このようなケースが定期的に行われている場合には、操作ログを利用して外部メディアへの書き出したファイルをチェックすることが必要かもしれません。

今回のような自治体における個人情報の扱いについても操作ログを利用して実態を把握することで、漏えいのリスクを回避することが可能と言えます。

ISMLogAnalyticsでは、PCで操作される個人情報ファイルを特定して、外部メディアへの書き出しだけでなく、メール添付による外部への送信、印刷による持ち出し、WEBサービスへのアップロードなどを把握可能です。これら操作を行った行為をユーザのランキングを一定期間でグラフ表示します。表示期間をスライドさせることで、いつものメンバーでないユーザなどによる異常値のログを発見することが可能です。

ISMLogAnalyticsのスライダーを使ったレポート機能は、他のログ製品では実現できない特殊なものです。

個人情報以外にもキーワード設定した機密情報の操作や、勤務時間をスライダーで確認することが可能です。

It's only fair to share...
00