NTT東日本とNTT西日本が顧客情報1396件のインターネット流出を発表 [時事寸評]
各社報道の通り、24日にまたもや情報流出事件である。 しかも、今回は素人ではない。 NTTという、いわばIT系の最先端を熟知していなければならない企業の話だ。 元ネタはここ。
原因だが、 例によって Winny + ウィルス感染という、 典型的なもののように見えるが、 よく見ると、それよりも大きな問題がある。 ウィルスに感染したのが、業務委託先の社員の私用パソコンだというのだ。
…に所属する社員の自宅にある個人用パソコンがウィルスに感染し、パソコン内に保管されていたNTT東日本及びNTT西日本(以下、NTT東西)のお客様情報と社員情報を含む業務関連ファイルが、ファイル交換ソフト「Winny」のネットワーク上に流出していたことが、平成18年2月23日(木)に判明しました。
つまり、もしこれがNTT本社の承認を得たデータであれば、 管理体制が極めて杜撰だったということになるが、 そうでなければ、 Winny だのウィルスだの言う以前に、 これは個人情報が業務を委託している社員によって社外に流出した ということになる。
これはどういう意味を持つかというと、 悪意を持った社員がその気になれば、 いくらでもデータを外に持ち出せる、ということだ。 普通の会社だと、 私物のパソコンも当然、外部のパソコンに社内のデータを持ち出すのは厳禁ということになっている。 もちろん、 普通の会社だと、 誰も管理もせずログも取ってなくて、 誰でも気軽に持ち出せるし持ち出している、というのが真の姿なのだが、 まあ現実はともかく、 NTT の公式なページでも、
従来より業務関連ファイル等の社外への持ち出しは禁止しているところですが
と書いてあるので、持ち出しは禁止なのだ。 しかし、その後がよくない。
再度「業務関連情報を自宅等社外に持ち出さない」、「自宅パソコンにおいてもWinnyを使用しない」等個人情報の取り扱いに関する全社員への周知・教育を徹底し、情報管理体制を強化することにより
根本的なところが間違っている。 社員への教育を徹底して効果が出るのは、 社員に悪意がなく、かつ、指示に従う従順な人ばかりいる場合だけに通用する話なのだ。 おそらく私が不器用だというよりはWindows の使い勝手の問題で間違ったフォルダーのデータをコピーしてしまったことは私は何度も経験している。 このような操作ミスは必ず発生するというのが、 今時のシステム設計では常識で、それを最初から想定してシステムを作るのがフェイルセーフという発想だということを今更書くまでもないだろう。 さらに、操作ミスではなく、言うこときかない社員がいたらどうだという問題もあるし、 そもそも、教育を徹底するという位では、 悪意のある持ち出しには何の対策にもならないのである。
つまり、この場合の最低限の対応としては、 「社外にデータを持ち出せないシステムにする」ということだろう。 そんな難しい話ではないはずだ。 例えば、企業の帳簿データとか、流出したという話聞いたことあります? ないでしょ。 それと同じ程度のセキュリティレベルを設定すればいいだけの話だ。
いやもしかして、紙で処理しているとか、帳簿…。
2006-02-26 16:33
nice!(0)
コメント(0)
トラックバック(0)
コメント 0