今日から5月。
GWの狭間の平日ですが、こういうときこそチェックしておきたい、
情報管理に関する要注意事項です。
日経新聞より。
(会員限定記事となっております。ご了承ください)
人材管理システムのカオナビ子会社が運用するクラウドサービスで、個人データの漏洩が判明した。運転免許証やマイナンバーカードの画像を含む15万人超の情報が流出。個人情報の漏洩リスクが高まる中、誤った設定や操作など企業側の「凡ミス」も目立つ。
今回情報漏洩が発覚したこの企業では、
子会社が運用するシステムのクラウドで管理していた
氏名や性別、住所、電話番号、さらにはマイナンバーカードや
運転免許証など身分証明書の画像が外部から見られる状態だったそうです。
その数、なんと15万人余りの情報が第三者にダウンロードされていました。
大変な事件ですね。
ただ、原因はかなり初歩的なミス。
サーバーには本来なら外部アクセスができないように設定が必要なところ、
誤った設定によって第三者から閲覧可能な状態となっていた、とのこと。
しかもその状態は2020年1月から4年以上続いていたそうで、同社は
「二次被害が生じた事実は確認されていない」と説明していますが、
情報漏洩の不正利用が判明するまでには時間がかかるケースもあり、
とても心配な状況です。
記事によれば、情報漏洩のケースには
・不正アクセスなどによる「被害型」
・社員らが情報を持ち出す「不正型」
・設定ミスや誤操作などの「過失型」
があり、それぞれに注意が必要だそうです。
東京商工リサーチによると、23年の上場企業の個人情報漏洩や紛失事故は175件で、漏れた情報は22年比7倍の約4090万人分に上った。最も多かったのがインターネットを通じた「ウイルス感染・不正アクセス」の93件で、「誤表示・誤送信」43件と続いた。
さて、私学もまた個人情報の「宝庫」ですよね。
その管理体制は十分に整っているでしょうか。
ある程度の安全対策は専門業者にお願いすることになるかもしれませんが、
全てを丸投げ、というのは今回の事例を見ても望ましくありません。
上図にあるような対策は最低限のものとして、
少なくとも過失型の漏洩は絶対に起きないようにしたいですね。
この機会に、国が定めている個人情報保護法に基づくガイドラインなども
改めてご確認いただくとよいのではないでしょうか。
ご参考までに、リンクを貼っておきますね。
(文責:吉田)