見出し画像

第59話 うっかり漏洩を元から断つ

吉田 晋 情報処理安全確保支援士(登録025036号)

うっかり漏洩はデータが端末に保存されているから起きる

情報漏洩のケースは下記2つに大別される。

ケース1:悪意ある情報窃取(攻撃窃取)
ケース2:悪意ない紛失漏洩(うっかり漏洩)

今回はケース2についての情報漏洩について考察する。悪意のないうっかりミスから生じる漏洩なので「うっかり漏洩」と名付ける。

ゼロトラストFTAから「悪意のある攻撃窃取」と「うっかり漏洩」の発生率はほぼ同じであることがわかる。

そして「うっかり漏洩」が発生する原因は下記4つのケースであり、発生率と共に示す。

・USBメモリの紛失(21.4%)
・モバイル端末の紛失(19.8%)
・印刷した書類の紛失(14.3%)
・メールの誤送信(13.9%)

セキュアブラウザや仮想デスクトップの利用で

これらの解析から、「うっかり漏洩」は、端末内にファイルとして機密情報が存在しなければ、ケース2は発生しないということがわかる。

では「端末にデータを保存しないで業務を行う」ためにはどういう手法があるだろうか。最もポピュラーなのは「セキュアブラウザ」や「仮想デスクトップ」などであろう。

閲覧や入力などはPC端末から操作することは可能だ。しかしデータの実体はサーバ上にある。端末にはデータは保存されていない。

3種類のうっかり漏洩

うっかり漏洩の情報は主に次の3種類である。(IPA「内部不正による情報セキュリティインシデント実態調査」より) 紛失で漏洩する情報は次のようなものだ。

・顧客情報
・技術情報
・営業計画

これらの情報は本当に社員のパソコンにファイルとして保存しなければならないものであろうか。もしパソコンにファイルとして保存しなくて良いのであれば、情報漏洩のリスクは大幅に減少させることが出来る。

顧客情報

顧客情報の漏洩で最も問題になるのは、個人情報保護法により漏洩のおそれがある時点で、個人情報保護委員会への報告が義務付けられている。しかし改正個人情報保護法により、報告が義務付けられる個人情報の範囲は現実的に見直されている。

うっかり漏洩で、届出が必要な個人情報漏洩のおそれの定義は下記3項目だ。

1,要配慮個人情報の漏洩のおそれ
・人種、信条、身分、病歴、犯罪、障害など

2,漏洩により財産的被害を及ぼす個人情報の漏洩のおそれ
・クレジットカード、決済サイトの認証情報など

3,1000人以上の個人情報の漏洩のおそれ

業務でこれらのデータを扱うことがあっても、自分のパソコン端末にこれらの個人情報ファイルを保存したり、印刷し持ち歩くことは必要だろうか。

技術情報

技術情報(マニュアルや設計書など)は、作成者は自分のパソコンにファイルを保存する必要はあるだろう。

しかしその技術情報(マニュアルや設計書)を閲覧する大多数の社員は、自分のパソコンにダウンロード保存する必要性は必ずしもない。

またタブレット端末やモバイルPCなどの持ち出しも最近許可されることが増えているため、紙に印刷しなくても(タブレットやPCが手元にあれば)代わりに使えるケースも増えているだろう。

営業企画

営業企画の情報も同様だ。作成した担当者のPCには資料は保存されている必要はあるだろう。しかしこれらの企画書を評価したり利用する大多数の社員のPC端末に保存されている必要はないだろう。

リスクが10分の1に

セキュアブラウザや仮想デスクトップなどの手法により、社員の端末に機密情報(顧客情報、技術情報、営業企画など)を保存させない場合を従来の場合と比較する。

今後のセキュリティツールのトレンドに

ここ数年の在宅ワークの広がりで、モバイルPCの持ち出しが許可されやすくなったことと、クラウドサービスなどWebを使ったサービスが広がっていることから、情報漏洩を防ぐ手段として、セキュアブラウザや仮想デスクトップは今後更に利用が拡大していくことであろう。


【2021年版】ゼロトラストFTAガイドブック(無料)はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願っています。

参考資料

個人情報の保護に関する法律(平成十五年法律第五十七号)
(略)
(漏えい等の報告等)
第二十二条の二
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。

平成二十八年個人情報保護委員会規則第三号
個人情報の保護に関する法律施行規則
(略)
(個人の権利利益を害するおそれが大きいもの)
第六条の二 法第二十二条の二第一項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。

一 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下「漏えい等」という。)が発生し、又は発生したおそれがある事態

二 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

三 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態

四 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

個人情報の保護に関する法律についてのガイドライン(行政機関等編)
個人情報保護委員会
(略)
4‐2‐5 要配慮個人情報
「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める次の(1)から(11)までの記述等が含まれる個人情報をいう(法第2条第3項)。
なお、これらの情報を推知させる情報に過ぎないものは、要配慮個人情報には当たらない。

1.人種
2.信条
3.社会的身分
4.病歴
5.犯罪の経歴
6.犯罪により害を被った事実
7.身体障害、知的障害、精神障害(発達障害を含む。)その他の規則で定め8.る心身の機能の障害があること(政令第2条第1号)。
9.本人に対して医師その他医療に関連する職務に従事する者((9)において10.「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査((9)において「健康診断等」という。)の結果(同条第2号)
11.健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと(同条第3号)。
12.本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと(犯罪の経歴を除く。)(同条第4号)。
13.本人を少年法(昭和23年法律第168号)第3条第1項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと(政令第2条第5号)。

この記事が気に入ったらサポートをしてみませんか?