尼崎市の全市民46万人分の個人情報が詰まったUSBメモリを、市が臨時特別給付金を支給する業務の一部を委託した業者(の下請け?子会社?の従業員)が紛失した事件。巷で結構騒がれていますね。
USBメモリには住民基本台帳の情報のほか、生活保護受給世帯や児童手当受給世帯の口座情報まで含まれていたそうですが・・・この事件の問題点について触れようと思います。
- そもそもUSBメモリで持ち出してOKなのか?
- USBメモリが「絶対無くす/盗られるとまずいもの」という認識があったのか?
- 記者会見での対応
1.そもそもUSBメモリで持ち出してOKなのか?
尼崎市の個人情報の取り扱いのルールがどのようなものであったのか正確にはわかりませんが、基本的にこのような情報は「外部へ持ち出す」こと自体が原則NGであると考えます。最低でも個人の鞄に放り込んで持ち運ぶのではなく、警備輸送を使用するべきでしょう。もちろん、輸送先(実際に作業をする業者の施設)が市役所と同等以上の情報セキュリティ対策を施されているという前提ですが。
2.USBメモリが「無くす/盗られると絶対にまずいもの」という認識があったのか?
1.と通ずる部分がある問題ですが、紛失までの過程が次のようであったと報じられています。
- 業者担当者がデータ移し替え作業のためUSBメモリを役所から持ち出し
- 作業終了後、当該USBを鞄に入れたまま同僚と飲酒
- 解散後、路上で寝る → 気が付いたら鞄ごとなかった
盗られたらマズいという認識が欠如していたから警備輸送を使わず鞄に放り込んで持ち運んだのでしょうし、だからこそそんなものを鞄に入れたまま飲酒、そしてそのまま路上で寝てしまったんでしょう。
もちろんこの担当者の行為は責められるべきものですが、会社として「情報セキュリティ」に関する指導教育体制がどの程度までされていたのか?疑問に感じざるを得ません。
いつだったか忘れましたが、覚醒剤だか大麻だかを入れた財布を落として逮捕されたという事件があったかと思います。(所持自体が当然ダメな事ですが)所持がバレたら絶対マズいものが入った財布ですら、人は簡単に落とすんです。
成人の集中力持続時間は50分程度だと言われています。(その中でも高度に集中できるのは15分程度)
だから、大麻なんかを財布に入れても1時間もすればそのことに意識が行かなくなるんです。本件のUSBメモリも同じで、鞄に放り込んだ当初は「大事なもの」という意識があったとしても、直帰するならともかくそのまま飲酒をしてしまったら、そんなことはすっかり忘れて当然です。
だからこそ、「絶対無くすな!」という精神論ではなく、警備輸送を利用する等、担当者の集中力に依存しないセキュリティ体制の構築が不可欠なんです。
3.記者会見での対応
報道によると、紛失を受けて行われた尼崎市の記者会見で「英数字**桁のパスワードを設定している。解読するのは難しいのかなと考えている」という回答があったようです。
※桁数は伏せますが実際の会見でははっきり桁数を言ったそうです
ここにも、セキュリティ意識というか知識の欠如が出てしまっています。
パスワード保護を突破しようとする場合、辞書攻撃(既存の単語の組み合わせ)もしくは総当たり(ランダムに文字・数字の組み合わせを一つずつ試す)が良く行われる手法ですが、いずれの場合もそれなりに時間がかかります。しかし「桁数」が分かってしまうだけで候補がだいぶ絞れたり、試行回数を減らすことが可能になるため、「桁数くらいなら教えてもいいか」などと安易に考えてしまうのは絶対にNGなんです。