りそな銀 1万4000人余の顧客情報入りディスクを紛失
コメント
注目のコメント
古いタイプのセキュリティ事故ですね。
握り潰そうと思えば握り潰せそうな内容ですが、それをしなかった点は評価。外部持ち出しされていないなら最終的によかったね、になるのでしょうが、古いデータの管理方法が再考されるかも。可搬メディアに書き出したデータをあたらめてサーバーに移し替えるとか、そのコストは鬱陶しい気もしますが、現物管理の継続か、棚卸しコスト削減を含めて現物管理をやめるか、判断が求められていくのですかね。
ちなみに、今どき機密データに可搬メディアなんて使うの?ですが、バックアップ先がサーバーのストレージ外(テープ装置など)という例はまだまだあるでしょう。近年そういうインフラ構築に関わっていませんが、少なくとも一昔前ならコストメリットが大きかったので採用例はありました。第一ストレージは万能でありませんし、極論を言えばストレージの構成物だって可搬ですし、クラウドだって実態はストレージと思えば、ありとあらゆるデータはそもそも可搬です。処分・管理が人手である以上、紛失のリスクはそこかしこに存在しています。その運用のノウハウを集めながらがんばってやっているのが今でしょう。若干、不謹慎ですが、発表しなければ広く知られることが無いような内部のミスをりそなはなぜ発表したのか。
発表せずにいて社員か協力会社からSNSなどで漏れることを恐れたか? 廃棄した可能性は高いものの物理的に破壊していない可能性があるため万一ゴミから漁られたりすると問題になるから先に発表したか? 社内の覇権争いで汚点を負わせるために大ごとにしたか? いろいろ邪推できます。
銀行に限りませんが個人情報の取り扱いはどこの会社も(少なくとも大手企業では)厳しく管理・制限されています。少なくとも、普段の業務を行う端末とはネットワークも切り離されていて申請など手続きを踏まないとアクセスできません。
業務上必要になる場合は内部ルールに基づいて用途や使用項目を限定して必要分しか参照できないようにします。持ち運べるメディアに書き出したのは社外に持ち出す目的ではなく、顧客情報と繋がる端末やその部屋から切り離すためと思われます。推測でしかありませんが、おそらくメディアを読み込む(ディスク)装置も普段の業務の端末には内蔵されていないと思われます。
これらのことから社内的には誰が何のために何件のデータをメディアに書き出したかまでは追跡できていると思われます。
(あくまで推測ですが)
よって、情報がインターネットやSNSなどで外部に漏れる可能性は低いと考えることができます。
ただ、
銀行であっても社員(行員)や関係者の全員がしっかり情報管理できているわけではないということがこの記事からわかります。りそなだけのことか ほかの銀行でも似たり寄ったりなのかはわかりません。この記事が出ることでほかの銀行や会社や社員の意識がより高くなるとすれば、このニュースは価値があり、発表したりそなは立派ということができると思います。「今どきディスク? しかも、20年くらい前に私も使っていた懐かしのMO?」と思ったら同様のコメントが多数。
MOは、1990年代ですよね…。
https://newspicks.com/news/4813348
「セキュリティーの基準(あるいはITインフラ)は常にアップデートしないと」と痛感させる反面教師となりそう。