USBメモリーが見えなくなってしまった、メールに間違ったファイルを添付して送ってしまったなど、誰でもやってしまいそうな小さなミスが深刻な事態を引き起こすことがあります。実際に多発している個人情報漏えいの実態を知り、対策を考えておきましょう。
<INDEX>
■「書類紛失」と「データ漏えい」
★コラム:「テスト結果130名分漏えい」事件にみる親子事情
■データ漏えいの2大原因――「紛失」と「誤送信」
■頻発するUSBメモリーの紛失
■「TO送信」「ファイル誤添付」の悲劇
<以下本文>
セキュリティ通信編集部では、個人情報漏えい事故について、Webに掲載されたニュースや公開されたリリースを対象に、毎週10件程度を選び、収集している。今回は、2014年7月下旬から2015年1月下旬の約半年間の間に収集した267件の漏えい事故について、漏えい元や事故の原因などを調べてみた。
個人情報の漏えいは、情報を記載した書類を紛失するものと、データ化された情報が漏えいするものとに分けられる。ここ半年間の漏えい事故の収集結果を分類した結果は、データ漏えいが162件(60%)、書類紛失が105件(39%)だった。JNSA(日本ネットワークセキュリティ協会)が公開した2013年の調査では、データ漏えいよりも紙媒体の紛失による情報漏えいが多いことが明らかにされている(注1)。当編集部では、インターネットのキーワード検索でヒットするものから、「事例として一般読者の参考になるもの」を要件に、週に10件程度を選んでいる。自治体の事務処理ミスによる漏えい事故(書類ベースが多い)などはピックアップしないことが多い。記事化が目的の事例収集であり、調査を目的としたものではないため、網羅的な調査結果とは異なる結果が出ることを、あらかじめご了承いただきたい(図1)。
図1 「書類紛失」と「データ漏えい」
漏えい元をみると、「データ漏えい」は企業・金融機関が最も多く、「書類紛失」は自治体・公共機関で最多だった。データより書類紛失の事故件数が多いのは自治体・公共機関のみで、小中高・大学などの教育機関、病院など医療機関も書類紛失よりデータ紛失の事故件数が多い。報道機関ではデータ漏えいのみだった(集金業務委託者による帳票紛失が多いNHKについては、報道ではなく公共機関のほうに分類している)(図2,3)。
図2 データ漏えい(162件)の漏えい元
図3 書類紛失(105件)の漏えい元
収集した漏えい事故の中に、漏えい手段が書類(印刷物)とデータの両方にまたがった例があったので、紹介しておきたい。2014年11月、ある市立中学で、教師が生徒のテスト結果を印刷して自宅に持ち帰り、自分の子どもに見せるという失態があった。教師が持ち出したのは、自分の子どもと同学年の生徒約130名分のテスト結果で、1学期の中間・期末テストと、2学期中間テストの計3回分である。見せた理由は「わが子を叱咤激励するため」だったというが、教師としてあるまじき行為であることは言を俟たない。公立中学であれば、市の個人情報保護条例に基づいた市教育委員会の規程があり、各校の教師はその内容について十分な研修を受けているはずだ。生徒の成績情報は重要な個人情報で、校外持ち出しは校長など管理者が認めた場合以外は原則禁止とされている。もちろん、個人情報の「目的外使用」も禁じられている。教師はこうしたルールを知悉しているはずだが、親心が一線を越えさせてしまったのだろうか。
しかし、親心子知らずで、子どもは見せられたテスト結果を撮影し、複数の友人にメールで送信してしまった。メールを受け取った生徒のうちの一人が担任教師に相談し、事態が判明することとなった。市教委は処分を検討しているとしており、教師は相応の懲罰を受けたものと思われる。
この事件は、親心の逸脱を戒める教訓というだけでなく、子ども世代の情報環境が親世代の皮膚感覚を越えている実情も教えてくれる。親世代にとって印刷情報(書類)は紙に固定されたものという感覚が抜けきれないが、カメラ機能と通信機能を持つスマホがあれば、紙に印字された情報は簡単に画像データになり、LINEなどで即座に複数の相手に渡る。Webに公開すれば不特定多数に閲覧される。スマホが身体の一部のようになっている今の子どもたちにとって、印刷物は簡単にどこへでも拡散できる情報なのだ。
データ漏えいの原因で最も多いのは、USBメモリーやノートパソコン、携帯電話など個人情報を含む機器類の紛失(64件、39%)で、次位の「メール誤送信」(58件、35%)と共に、データ漏えいの二大原因となっている。以下に「不正ログイン/不正アクセス」(20件、12%)や「ネットで閲覧可能に」「不正持出/不正閲覧」が続く(図4)。
図4 データ漏えい(162件)の原因
大きなニュースとして取り上げられ、世間の耳目を集めることが多い「不正ログイン/不正アクセス」や「不正持出/不正閲覧」に比べ、USBメモリーや携帯電話の紛失、メール誤送信などはあまり目立つニュースになることはないが、身近に頻繁に発生する、最も警戒するべき脅威といえそうだ。本稿では、この2大原因について、どのような状況で発生しているのか、どのような対策が可能なのかを見ていくこととしたい。
データ漏えいの原因で最も多い「個人情報を含む機器類の紛失」の内訳をみると、USBメモリー(39件)が最多で、全体の6割を占める。次いでノートパソコン/パソコン(9件)、携帯電話(7件)、SDカード(4件)、ハードディスク(2件)などとなっている。これらの機器の紛失状況をみてみよう。
図5 紛失機器(64件)の内訳
(1) USBメモリーを紛失するパターン
USBメモリーの紛失39件のうち、最も多いのは「教育機関」(23件、58%)での紛失で、「医療機関」8件、「自治体/公共機関」5件がそれに続く。教育機関の内訳は、小学校8件、中学校7件、高校3件、大学2件、保育所2件、聴覚支援学校1件で、小中学校での紛失が目立つ。
紛失に至る経緯は、教師や医師が個人情報を含むUSBメモリーを校外・院外に持ち出し、立ち寄り先や自宅で紛失する、あるいは盗難にあうというパターンにほぼ集約される。盗難は「車上荒らし」が5件、「ひったくり」が2件起きているが、いずれもこのパターンだ。
図6 USBメモリー紛失(39件)の紛失元
<車上荒らしで奪われたケース5件>
・富山市立保育所:保育士は車で帰宅途中、別の保育所に預けているわが子を迎えに行った。わずかな隙に駐車していた車の窓ガラスを割られ、園児らの個人情報を含むUSBメモリーを入れた鞄を盗まれた。
・豊田市立小学校:教諭は車で帰宅途中、預けているわが子を迎えに保育所に立ち寄った。玄関前の駐車場に戻ると車の窓ガラスが割られ、児童の成績データ等を含むUSBメモリーを入れたバッグが盗まれていた。
・田川市立小学校:教諭は車で帰宅途中にドラッグストアに立ち寄り、駐車場で車上荒らしにあって鞄を盗まれた。鞄には児童らの個人情報を含むUSBメモリーが入っていた。
・三郷町立中学校:教諭は車で帰宅途中にパチンコ店に寄り、駐車場で車上荒らしにあって鞄を盗まれた。鞄には生徒らの個人情報を含むUSBメモリーが入っていた。
・尼崎市立高校:教諭は3学年全員の名簿、英語試験点数の一部などを記録したUSBメモリーを鞄に入れて校外に持ち出し、車上荒らしの盗難にあった。
<ひったくりで奪われたケース2件>
・西東京市立小学校:教諭は自転車で走行中、前かごに入れていたバッグをひったくられ、中に入っていた児童名簿や、通知表所見文が含まれるUSBメモリーを紛失した。
・九州大学病院:医師は帰宅後に自転車で外出し、バイクに乗った二人組にバッグをひったくられ、中に入っていた患者情報が含まれる個人所有のUSBメモリーを紛失した。
どの教育機関・医療機関でも個人情報を含むUSBメモリーの持ち出しは原則禁止とされているが、保育士は保護者との緊急連絡用などに、教諭は自宅で授業準備や成績評価などの作業をするために、医師は学会発表などの準備のために、USBメモリーを持ち帰ってしまうことがある。そうした事情で校外に持ち出されたUSBメモリーの紛失事故が後を絶たないのが現実だ。クラウドの活用など、USBメモリーを持ち出さずに済む方法の検討も始まっているが、まずは持ち出し禁止の徹底や、やむをえず持ち出した場合の取り扱いの注意徹底をはかりたい。
車上荒らしやひったくりで物が盗まれる事故は、頻繁に起きている。車中に大切なものを置いたまま車から離れたり、自転車の前かごに大切なものを入れて走行したりすることは絶対に止めよう。盗まれたものが金品なら自分の損害だけですむが、児童・生徒や患者の個人情報であった場合、取り返しがつかない責任を負うことになる。
(2) 夏に多発したパソコンの盗難紛失
個人情報を含むパソコンが紛失した9件のうち4件は、海外出張中の大学教員が渡航先で紛失したもので、8月から9月に集中して発生した。東京大学の大学院教員はドイツ出張中にノートパソコンが入ったバッグを紛失(8月27日発表)、九州大学の大学院教員はスウェーデンで国際会議発表中にパソコンを入れたバッグを紛失(9月4日発表)、東京外国語大学の大学院教員は海外渡航中にパソコンおよびUSBメモリーの盗難にあった(9月10日発表)。上智大学は、主語は伏せて学生の成績などを含むパソコンが海外で盗まれたとのみ発表している(9月26日発表)。
旅行者がターゲットになりやすい海外では、パソコンを入れたバッグや鞄の紛失・盗難にとくに注意したい。学会発表中の会場でも盗難が発生している現状があり、パスポートと同様、「肌身離さず」が鉄則だ。
紛失9件のうち3件は、海外ではない安全なはずの国内、しかも大学構内等で発生している。昭和大学病院の医局および研修室からはデスクトップ一体型パソコンが盗まれ(7月15-16日発生)、富山大学では人間発達科学部の研究室などで入口のガラスが割られ、iPad1台、ノートパソコン1台が盗まれた(7月24日発生)。新潟大学では工学部教員の居室のドアガラスが破壊されてパソコンが持ち去られた(7月27日発生)。場所は東京、富山、新潟と異なるが、7月発生、居室・研究室からの強奪といった共通点もみられる。部屋に施錠するだけでなく、セキュリティワイヤーでパソコンを物理的に固定する等の対策をとっているところもあり、より効果的な防犯対策の検討が待たれる。
残り2件のうち1件は不動産会社の業務用ノートパソコンが宅配便による配送途中で所在不明になり、もう1件は通信事業者がサイト運営を委託していた会社の社員による業務用パソコンの紛失だった。管理者の手を離れたところに紛失の危険が潜んでいる。
データ漏えいの原因で2番目に多いのは、個人情報を誤ってメールで送信してしまう「メール誤送信」(58件)である。メール誤送信で最も多いのは、BCCに設定するべきメールアドレスを、誤ってTOまたはCCに設定して送信してしまうという事故だ。メールを受け取った人は、同時に送信された人々のメールアドレスや個人名の羅列を見ることになる。今回収集したなかでは、衣料品販売会社が登録顧客に送った709名分のメールアドレス流出が最多だった。この宛先欄の設定ミスによる漏えい事故は、繰り返し注意が喚起されながら、当編集部が個人情報漏えい事故をウオッチし始めた10年ほど前から現在まで、毎週絶えることなく発生し続けている。
図7 メール誤送信の内訳
メール誤送信の送信元は、「自治体/公共機関」と「企業」がどちらも24件の同数最多で、USBメモリーの紛失では1位、2位だった「教育機関」「医療機関」は3位以下に後退している。メールを日常的に使う自治体やビジネス分野で多発していることがうかがえる。
図8 メール誤送信(58件)の送信元
どのような状況で誤送信が起きているのかをみてみよう。
(1) BCCをTO/CCで送信
自治体/公共機関では、24件のメール誤送信のうち16件がこの宛先の設定ミスで起きており、うち12件が案内メールや連絡メールを複数の宛先に送ろうとして、うち4件は登録会員宛てにメールマガジンを送付しようとして発生している。企業では、やはり24件の誤送信のうち13件がこの宛先設定ミスで起こり、うち9件は複数の顧客宛てに案内メールを送ろうとして、うち4件は登録会員宛てにメールマガジンを送付しようとして発生した。
教育機関の例では、大学附属小学校が体験入学等の案内メール送信時にこの設定ミスをしてしまい、学校行事参加登録者や担当教員のメールアドレス計142名分が流出した。報道機関の例では、地方新聞社がイベント参加者に案内メールを送信する際に宛先設定を誤り、メールアドレス436件と氏名7名分が流出している。
(2) ファイルなどの誤添付
上記の宛先欄の設定ミスではメールアドレスの流出などですむことが多いが、ファイル等をメールに誤添付するミスは、より詳細な個人情報が流出する事故になりやすい。
自治体/公共機関では5件の誤添付事故が発生している。ある地方都市では2014年11月、全職員1854名の給与データ(給与月額、手当額、一部をマスクした振込先口座、税金の控除額など)を、給与明細のメール配信を希望している職員214名に誤添付して送信するという深刻な漏えい事故があった。
企業の誤添付事故は4件あり、旅行会社が顧客の個人情報を含む書面(航空券手配に必要な情報が記入されている)を誤添付し別人に送信したり、リゾート会社が予約者248名のリスト(氏名、電話番号、メールアドレス、チェックイン日など含む)を誤添付して当該の248名に送信したり、生命保険会社が保険募集人2270名の情報ファイルを無関係の保険代理店へ誤送信したりするなどの事故が発生している。教育機関では大学当局が学生65名の評価を含むファイルをメーリングリストに誤送信する事故があり、医療機関では大学附属病院で患者53名のデータを誤送信する事故が発生した。
メールにファイルを添付する場合は、一歩間違えば大変な事故になることを自覚し、繰り返し確認してから送信ボタンを押すようにしたい。
(執筆:現代フォーラム/桜井)
<注1>
・2013年情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~本編【改訂版Vre1.1】[PDF]
(日本ネットワークセキュリティ協会)
http://www.jnsa.org/result/incident/data/2013incident_survey_ver1.1.pdf
・付録[PDF]
http://www.jnsa.org/result/incident/data/2013_apx.pdf