パソコン、USBメモリ、携帯電話の紛失や盗難で、個人情報流出が相次いでいる。ほかにも、メモリーカードやフロッピーディスク、CD、MO、外付けハードディスクなどなど、データを保存できるツールは私たちの身の回りにたくさんある。こうしたツールには、常に「紛失・盗難→情報流出」というリスクがつきまとう。大量のデータが収録できるツールだけに、うっかり紛失した代償はあまりに大きい。身近に起きている情報流出事故の実態をリサーチし、対策をまとめた。
<INDEX>
実態編:情報流出はこんなふうに起きている
■事故発生の状況は?
:よくある紛失パターン
:人はなぜ大事なデータを放置してしまうのか?
■事故発生数はどれくらい?
■紛失したり盗まれたのはどんなツール?
■どんなセキュリティ対策をとっていた?
対策編:基本の対策から最新動向まで
■基本となるセキュリティ対策
■試してみよう「暗号化」~「Office」や「XP」にも暗号化機能が
■遠隔からのロック、データ消去~携帯だけでなくPCでも可能に
<本文>
実態編:情報流出はこんなふうに起きている
データを保存できるツールは、パソコン、携帯電話、USBメモリーのほかにもたくさんある。メモリーカード、フロッピーディスク、CD、MO、外付けハードディスクなどの記録メディアはもちろん、デジカメ、携帯音楽プレイヤーも仲間に入れることができる。
これらの紛失や盗難はどのような状況で起きているのか。よくあるのはこんなケースだ。
【よくある紛失パターン】
・ 家で仕事をするために、データをUSBメモリーにコピーして持ち出したら、帰宅途中に落としてしまった。
・ 職場でデータをUSBメモリーに保存し、後で使うつもりでポケットに入れておいたら、いつのまにかなくなっていた。
・ 職場でUSBメモリーをPCに挿したまま席を離れた。戻ってきたらなくなっていた。
・ 出先で使うデータをノートPCに保存し、カバンに入れて外出したら、カバンごとひったくられた。または電車の網棚に置き忘れた。
このほか、メールに業務データを添付して自宅のPCへ送信して保存したら、空き巣にPCを持っていかれたというケースもある。事務所内、施設内に置いてあったPCを盗まれる盗難事件もたびたび発生している。持ち運べるノートPCだけでなく、デスクトップPCにも気を配らなければならないのだ。
車上荒らし(車上ねらい)による被害もかなリ多い。人はなぜ、禁じられている個人情報の持ち出しをやってしまうのか。車内に放置してしまうのか。その点について、興味深い資料がある。
【人はなぜ「個人情報の持ち出し」をするのか?】
昨年1月、公立中学校の校長が車上荒らしにあい、車に置いていた鞄が盗まれた。鞄の中には、全校生徒の名簿や、職員の人事異動に関する書類などが入っており、これらの個人情報が盗まれ流出してしまった。以下は、この流出事故について市議会で報告と質疑が行われた記録である。
・船橋市議会 文教委員会記録(平成20年1月11日)
http://www.city.funabashi.chiba.jp/giji/gikaisite/iinkaikiroku/bunkyo/bunkyo20y/bunkyo20yjan11.html
この議事録では、「なぜ校長は名簿を持ち出したのか」「なぜ車内に放置したのか」が繰り返し問われている。同市ではその年度に入ってすでに2度、流出事故が起きていた。本件は、教育委員会としては考えられる限りの対策を行ってきた矢先に起きた、3度目の事故だったのである。議事録からは、「あんなに言ったのに、対策したのに、なぜ?!」という、悲痛な思いが伝わってくる。この事例では書類を盗まれているが、データを含むツールの盗難にも共通する点があるだろう。
「データを持ち歩くから紛失したり盗まれたりしてしまう」ということで、持ち出しを規制することが情報流出対策の基本に据えられている。しかし、データの持ち出しをどれだけ規制しても、持ち出さざるをえない背景があると、人は持ち出してしまう。家で締め切りが迫った資料を作成する、職場では目を通せない資料を読む、などなど。もちろん、システム的に持ち出せない対策をとるという方法もあるが、持ち出さざるを得ない状況を変えることにも、目を向けていかなければならないだろう。
上記のような、データを保存できるツールの紛失・盗難による個人情報流出事故は、1年間にどのくらい発生しているだろうか。
Web上で事例を収集してみたところ、2008年6月から今年5月までの1年間に、291件が公表または報道されていた(紛失:170件、盗難:121件)。これは、同期間に収集できた個人情報流出事故全体(1583件)の18.3%にあたる。
291件のうち、流出した情報の数がわかっているのは270件。流出規模が大きい順に5件を挙げると、14万151人(パソコン紛失)、9万3911人(MO紛失)、3万4460人(パソコン盗難)、2万6481人(USBメモリー紛失)、2万5986人(CD紛失)となっている。
平均流出人数は2637人だが、流出人数が1万人以上の事故12件(4.5%)が流出総数の76.2%を占め、平均人数を押し上げている。中央値(流出数順に並べたときに中央にくる値)は167人だ。ちなみに、個人情報流出事故全体の中央値は26人なので、データを保存できるツールの紛失・盗難による個人情報流出は、人数がひと桁違うことになる。
上記の個人情報流出事故291件で、紛失したり盗まれたツールは以下の通りだ。
・USBメモリー・メモリーカード:136件
・パソコン:97件
・携帯電話:18件
・専用携帯端末:13件
・ハードディスク:10件
・フロッピーディスク:10件
・MO:5件
・その他:9件
「その他」には、CDが3件、デジカメが2件と、磁気テープ、電子手帳、専用携帯端末用メモリーカード、「記録媒体」としか公表されていないケース各1件が含まれる。専用携帯端末とは、水道や電気、ガスなどの検針、集金の際に使う業務用の端末機のことだ。
パソコンとUSBメモリーを盗まれたなど、複数種類の機器を紛失したり盗まれた事故も7件あった。
上記291件のうち、今年の4月と5月に公表・報道された38件について、データの流出を防ぐための対策がとられていたかどうかを調べてみた。(パソコン16件、USBメモリー・メモリーカード17件、フロッピーディスク2件、携帯電話、専用携帯端末、MO 各1件)
その結果、セキュリティ対策をとっていたとされているのは次の7件だった。
・PC:パスワード
・PC:7ケタのパスワード
・PC:複数のセキュリティ機能
・PC:ログイン時に指紋認証
・PC:データの暗号化+パスワードロック
・PC:データの暗号化+ICカード認証+パスワード
・専用携帯端末:パスワード
USBメモリー・メモリーカード 17件は全滅、パソコンも16件のうち6件しか対策がとられていない。なお、専用携帯端末については、他の期間に起きた事故について見ても、しっかり対策がとられていることがほとんどだ。
対策編:基本の対策から最新動向まで
こうした情報流出事故を防ぐためには、どんな対策が必要だろうか。まずは、総務省の「国民のための情報セキュリティサイト」で公開されている下記の情報に目を通してみよう。
・持ち運び可能なメディアを利用する上での危険性と対策(総務省)
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/work09.htm
・持ち運び可能なノートパソコンを利用する上での危険性と対策(総務省)
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/admin13.htm
・安全なパスワード管理(総務省)
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/work01.htm
上記ページで挙げられている対策のほか、データから氏名、生年月日、住所など、個人を特定できるような情報を取り除く「匿名化」も有効な手段。症例の研究、分析などの目的で患者のプライベートな情報を扱う医療分野では欠かせない対策だ。
・医療・介護関係事業者における個人情報の適切な取り扱いのためのガイドライン[PDF](厚生労働省)
※6ページ参照
http://privacy-policy.jp/guideline/guideline.pdf
パスワードの作り方については、マイクロソフトの下記ページが参考になる。
・強力なパスワード : その作り方と使い方(マイクロソフト)
https://www.microsoft.com/japan/protect/yourself/password/create.mspx
・パスワード チェッカー(マイクロソフト)
https://www.microsoft.com/japan/protect/yourself/password/checker.mspx
■試してみよう「暗号化」~「Office」や「XP」にも暗号化機能が
上記の資料に出てきた「暗号化」を試してみたい人のために情報を付け加えておこう。ファイルやフォルダ、あるいはドライブをまるごと暗号化するためのソフトはいくつも販売されているし、無料で利用できるソフトもある。暗号化の機能を搭載したUSBメモリーも販売されている。
また、身近なところでは、Word、Excel、PowerPointで暗号化の機能を利用できる。
・文書、ブック、プレゼンテーションを開くかまたは編集するためのパスワードを設定する(マイクロソフト)
http://office.microsoft.com/ja-jp/word/HA101483331041.aspx
・パスワードおよび暗号化保護に関する重要な特徴(マイクロソフト)
http://www.microsoft.com/japan/office/ork/2003/seven/ch23/seca06.htm
Windows XPでは、ファイルをZip形式で圧縮し、パスワードを登録することによって、ファイルを暗号化できる。
・圧縮(Zip)ファイルにパスワードを設定してデータを保護する(microsoft at home Magazine)
http://www.microsoft.com/japan/athome/magazine/ucontents/users/tips/windows/107.mspx
ただし、これらのパスワードを解析できるとうたうツールが出回っている。漏れたら絶対に困る情報の暗号化には、不向きだろう。これらの方法を利用する場合は、強力なパスワードを使うようおすすめする。
■遠隔からのロック、データ消去~携帯だけでなくPCでも可能に
携帯電話を紛失した場合は、「遠隔ロック」「リモートロック」などと呼ばれる機能を使って、他人が携帯電話を操作できないようにすることができる。ロックをかけるために必要な事項をあらかじめ自分で登録しておくこともできるし、事前の登録をしていない場合は、利用している携帯電話会社に連絡するとロックをかけることができる。ロックするだけでなく、保存されているデータを消去できるサービスもある。
PCについても、データの遠隔消去を可能にするソフトやサービスが存在する。この秋には、遠隔消去の機能を搭載したノートPCが法人向けに発売される予定だ。
(執筆:現代フォーラム/北野)