2022.06.05 怖い話14「あり得ない話」
センター長、中村です。
諸般の事情から、ブログ投稿を休んでいましたが、おかげさまで一段落したので再開いたします。
休んでいる間にとんでもない情報漏えい事件が起こりました。
新聞記事になっていたので、ご存じかと思いますが、5月26日に報じられた「釜石市、全市民3万人の個人情報漏えい」という事件です。
市職員が正当な理由なく、アクセス権限を持った他の職員に依頼し、住民基本台帳でデータを不正に持ち出したという個人情報漏えい事件で、市は2人の職員は懲戒免職とし、二人を住民基本台帳法違反容疑で岩手県警に刑事告訴をしています。
調べてみるとこの事件にはいくつかのキーワードがあります。
- アクセス権限の不正利用
- 電子メールに添付
- 自宅のPC
- 私物のUSBメモリ
情報漏えい事案では、頻繁に出てくる言葉で、当社の情報セキュリティポリシーの対策基準にも記載している単語ばかりです。
不思議なのは、この職員の動機です。
何の目的で、アクセス権限がない大量の個人情報を入手したのでしょうか?
外部への流出は今のところ確認されていないとのことですが、二人からの聞き取りだけで、信用できるのでしょうか?
驚くのは、2015年2月から2020年1月まで続いていたということ。
もっと驚くのは、「何が悪いの?」という感じで罪の意識が薄かったと報じられていること。
総務企画部に所属するベテラン職員は、情報セキュリティ教育を受けていないのでしょうか。
こんなことが「あり得る」なんて、怖いですね。
個人情報漏えいお詫びとして500円のクオカードという例がどこかで載っていましたが、釜石市はどうするのでしょうね。
いずれにしろ税金か・・・。
2名の職員だけという話でしたが、新たに複数の職員も関与していたことが分かったということで、拡大しそうな気配もあります。
「あり得ない」ことが、「あり得る」人的要因による情報漏えい。
我々にとって不可欠なデジタル技術を安心して利用するためには、「明文化されたルール」と「教育」が必要だと考えます。
「情報セキュリティポリシー」大事です。
情報が悪用されていないことを祈るばかりです。