第66話 内部不正防止逆転の発想
大阪市で保健所の職員から個人情報が漏洩した事故が発生した。
令和4年8月9日 14時発表
大阪市保健所職員(医師)の個人用端末アカウントに対する不正アクセスにより、クラウドサービス上に保存されていた個人情報等を含む写真データが不正アクセス者から閲覧できる状態になっていたことが、令和4年4月25日(月曜日)に判明しました。
このたびの事案が発生したことにつきまして、関係者の皆様に多大なご迷惑をおかけし、市民の皆様の信頼を損ねることになったことに対しまして、深くお詫び申しあげますとともに、再発防止に努めてまいります。
1 概要と事実経過
令和4年4月25日(月曜日)、大阪市保健所に勤務する職員から、「個人用端末アカウントから行ったインターネット上のアクセスにより、フィッシング詐欺にあい、個人で契約していたクラウドサービスのアカウントが乗っ取られていたことに、令和4年4月22日(金曜日)に気づいた」と報告がありました。
当該職員が、個人用端末アカウントで保存していたデータが外部のクラウドサービスに自動的に保存される設定としており、個人的な写真や業務上使用する資料の一部を撮影した写真を保存していたため、不正アクセス者から閲覧できる状態になっていたことが判明しました。
2 データに含まれる個人情報等
個人の名前、住所、電話番号、生年月日等を含む保健所内で取り扱う個人情報495件及び法人情報2件
3 判明後の対応
令和4年6月中旬にかけて、クラウドサービス事業者、警察及び弁護士と相談をしたうえ、二次被害等の影響等を考慮し、当該職員の個人用端末に保存されていた写真データ等の全てについて、個人情報の有無や内容を調査し、令和4年8月3日にかけて順次、当該関係者の皆様に連絡をとり、大阪市保健所の職員が経過説明と謝罪を行いました。
なお、現時点で、個人情報等が第三者に利用された事実は確認されておりません。
また、所属職員全員に対し、個人用端末を用いた同様の資料データ持ち出しがない事を確認しました。
4 原因
職員の個人情報等の取り扱いに関する認識が不十分であり、個人情報を持ち出す手続きをせず、個人情報等を含む資料を個人用端末で写真撮影し、保存していたことが原因です。
5 再発防止について
これまでも職員に対して個人情報等の管理の徹底を指導していたにもかかわらず、このような事案を起こしたことについて、深く受け止め、保健所職員に対して、今回の事案を共有するとともに注意喚起を図り、個人情報等の管理の徹底と、さらなる意識の向上について指導し、再発防止に努めてまいります。
本インシデントの3つの要素
この事故の深刻な点は通常の漏洩防止では防げないということだ。
1,職員が個人情報資料をスマホで撮影した。
2,撮影した個人情報が本人が意図せずクラウドに同期された。
3,本人に意図せずクラウドが不正アクセス突破された。
おそらく本人は個人情報を外部に漏洩させるために撮影したのではなく、業務上の都合上、やむ得なく撮影し携帯していたのであろう。
そしてこの事故が最も防止が困難な漏洩事故であることは以下の理由による。
1,スマホ撮影によるデータ持出し
印刷物やパソコン画面をスマホで撮影することを確実に抑止することは難しい。そのデータを閲覧できる場所が限られていて、スマホの持ち込みが禁止されているか、閲覧操作を監視カメラで記録されているなどである。
2,本人に罪悪感がない
スマホ撮影持出しに対する抑止は、資料にウォーターマークを付けて、その撮影の元データが誰からのものであるかを表示させる抑止手段がある。
あるいは個人情報アクセス操作はログで記録されていると社員に告知することも抑止手段として有効だ。
また退職予定者なども機密情報へのアクセスを制限監視することも有効である。
しかしいずれも内部不正者が「自分のやろうとしていることはバレたらまずい」という自覚があって効果がある。
今回のように(おそらく)職員が自分の業務の延長として持ち出す場合には抑止効果はない。
本人は自分以外に見せる意図はないので、ウォーターマークがあってもなくても関係ないだろう。
業務の一貫で利用している個人情報ならログで記録されていても関係ない。
ましてや本人は退職するから持ち出すという意図もない。
規則を破るのは悪いかもしれないが、業務を円滑にすませるには仕方ないことなんです。という内部不正は抑止が難しい。
3,個人環境の脆弱性は防ぎきれない
もしこのクラウドが多要素認証を利用していたら、たとえフィッシング詐欺にあったとしても、不正アクセスは防げていた可能性が高い。(二段階認証を破れる手口がそろそろ広まりはじめているが、まだ一般的ではないため)
今回の事例のように、個人環境が、フィッシング攻撃やマルウェア攻撃に脆弱であった場合、企業のセキュリティ担当がそれを把握することは困難だ。個人情報が職員の個人環境に移された時点で、漏洩を防ぐ手段は事実上ないと言える。
このように今回の漏洩事故は防ぐことが困難と言える。
ただし一つだけ効果的な抑止方法がある。それは逆に職員の個人端末でも個人情報にアクセスできるようにすることである。
忙殺プレッシャーが高まるほど
昨今の事情から忙殺されているであろう保健所の職員が、その忙殺案件をこなすために、やむを得なく自分のスマホに写真として保存し携帯していたのだろう。
ということは、自分のスマホからいつでも必要であった個人情報にアクセス出来ていたら、この漏洩事故は防げていた可能性が高い。
日本の社員や職員は意識が高い。自分からルールを積極的に破る人は少数派だ。その人が運用ルールを破るのは、仕事が終わらないことが一番の原因であることがわかっている。
善意の内部不正が起きる理由
本人はできればルールは守りたい。しかし忙殺プレッシャーに負けて、機密情報(個人情報など)を不正に持ち出すケースを「善意の内部不正」と呼ぶ。
しかしもし、たとえ個人端末を使用しても、業務上必要な機密情報に速やかにアクセス出来る環境を用意したらどうだろう。
職員はわざわざ「善意の内部不正」をする必要はない。
逆転の発想「個人スマホからでも安全にアクセス」
もし個人のスマホでも許可された端末であればセキュアブラウザを導入して個人情報を閲覧できるようにしたらどうだろう。そのセキュアブラウザ上のデータは保存も印刷も画面キャプチャーも出来ない。情報の持出しは困難だが、職員はいつでもその情報にアクセスできれば、わざわざルールを破って写真データとして持ち出す必要性は感じないだろう。
企業にとって機密情報の漏洩は防がなければならないものだ。
そして情報漏洩対策を施した結果、業務が煩雑になることはやむを得ないことはある。しかし社員の「忙殺プレッシャー」が強いままだと、社員が「善意の内部不正」を起こす土壌となる。
DoCANのように、安全に業務効率を落とすことなく機密情報にアクセスできるツールは「善意の内部不正」を抑えることが出来る。